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本 书 介绍 了 将 网 络 管理 科学 应 用 到 互联 网 协议 地 址 空间 及 相关 联 
的 网 络 服务 等 内 容 。 本 书 分 为 四 个 部 分 ， 第 I 部 分 给 出 IPv4、IPv6 以 
及 IP 地址 分 配 和 子 网 划分 技术 综述 ; 第 工 部 分 描述 用 于 IPv4 和 IPv6 
的 DHCP， 并 解释 依赖 于 DHCP 的 各 项 应 用 、DHCP 服务 器 部 署 策略 
以 及 DHCP 和 相关 的 网 络 接 入 安全 ; 第 亚 部 分 描述 DNS 协议 、DNS 
应 用 、 部 署 策略 和 相关 联 的 配置 以 及 安全 性 ; 第 部 分 描述 以 聚合 方 
式 管理 IP 地 址 空间 的 各 项 技术 和 日 常 P 地 址 管理 功能 。 

本 书 可 作为 IP 网 络 规划 人 员 、 工 程 师 和 管理 人 员 的 实践 用 书 ， 
同时 可 供 部 署 Pv6 网 络 的 技术 人 员 人 参考 。 
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译 者 F 


TCP/IP 协议 族 是 因特网 的 核心 组 件 ， 对 于 这 个 发 展 到 成 熟 阶 段 的 全 球 网 络 而 言 ， 
能 够 发 展 到 今天 ， 其 起 到 了 功 不 可 没 且 至 关 重 要 的 作用 。 有 人 说 ， 从 体系 架构 方面 而 
言 ， 因 特 网 已 经 开始 出 现 制约 其 发 展 的 瓶颈 ， 这 主要 是 针对 耳 这 个 细 腰 来 说 的 ， 认 
为 它 太 细 了 ， 不 能 承载 太 多 的 来 自 网 络 层 以 上 的 多 样 化 需求 。 但 无 论 如 何 说 ， 我 们 在 
目前 还 看 不 到 任何 技术 可 在 短期 内 能 够 替代 IP 成 为 下 一 代 全 球 网 络 的 支撑 性 关键 技 
术 。 因 特 网 的 一 个 核心 理念 是 端 到 端 ， 这 从 IP 报 文 格式 中 的 源 地址 和 目的 地 得 以 体 
现 。IP 地 址 是 因特网 的 核心 战略 资源 ， 无 论 是 IPv4， 还 是 IPv6， 即 使 可 用 的 地 址 池 
再 大 ， 面 临 日 益 复杂 的 巨型 网 络 ， 其 前 景 都 是 令 人 不 容 乐观 的 ， 所 以 瑟 地 址 的 管理 
是 维护 网 络 正常 运行 、 发 展 和 演化 的 基础 。 

本 书 分 为 四 个 部 分 。 本 书 前 三 部 分 的 焦点 分 别 是 三 项 核心 IPAM 功能 : IP 寻 址 和 
管理 、DHCP 以 及 DNS。 第 了 部 分 集成 这 三 部 分 ， 描 述 管理 技术 和 实践 。 

第 I 部 分 给 出 IPv4、IPv6 以 及 IP 地 址 分 配 和 子 网 划分 技术 的 详细 综述 ; HO 
分 给 出 IPv4 DHCP 和 IPv6 DHCP 的 概述 ， 并 讲解 依赖 于 DHCP 的 各 项 应 用 、DHCP 服 
务 器 部 署 策 略 以 及 DHCP 和 相关 的 网 络 访问 安全 ; 第 于 部 分 描述 DNS 协议 、DNS 应 
用 、 部 署 策略 和 相关 联 的 配置 以 及 安全 性 (包括 DNS 服务 器 和 配置 的 安全 以 及 DNS- 
SEC); 第 部 分 整合 前 三 部 分 ， 讨 论 逻 辑 严密 、 协 调 一 致 地 管理 IP 地 址 空间 的 各 项 
技术 ， 其 中 论 及 对 DHCP 和 DNS 的 影响 。 

本 书 由 王 玲 芳 负责 第 1 和 2 章 翻译 以 及 全 书 译 稿 的 统 稿 、 校 对 等 ， 袁 开 银 负责 第 
3 ~10 章 的 翻译 工作 ， 陈 海 英 负责 第 11 ~15 章 、 词 汇 表 、RFC 索引 的 翻译 工作 。 本 
书 在 翻译 过 程 中 ， 吴 秋 义 、 李 冬 梅 、 潘 东升 、 吴 环 、 王 弟 英 、 李 虹 、 游 庆 珍 、 李 传 
BRR, FE. MFR. LEHRER. AH. RA. SRM FH. KAAR 
志 参 加 了 部 分 的 翻译 工作 ， 在 此 表示 感谢 。 另 外 ， 感 谢 互 联网 领域 的 先驱 者 、 实 践 者 
和 研究 人 员 。 

不 过 ， 需 要 指出 的 是 ， 本 书 的 内 容 仅 代表 作者 个 人 的 观点 和 见解 ， 并 不 代表 译 者 
及 其 所 在 单位 的 观点 。 另 外 ， 由 于 翻译 时 间 比 较 仓 促 ， 疏 漏 错误 之 处 在 所 难免 ， 敬 请 
读者 原谅 和 指正 。 


原 书 前 言 


IP 地址 管理 (IPAM) 实践 内 容 包 括 将 网 络 管理 学 科 知 识 应 用 到 因特网 协议 
(IP) 地 址 空间 和 相关 联 的 网 络 服务 〈 即 动态 主机 配置 协议 (DHCP) 和 域名 系统 
(DNS) ) IP 地 址 规划 和 DHCP 服务 器 、DNS 服务 器 配置 之 问 的 联系 是 不 可 分 的 。 一 
个 耳 地 址 的 改变 会 影响 DNS 信息 ， 也 许 还 会 影响 DHCP。 这 些 服务 提供 了 如 今 融合 
服务 IP 网 络 的 基础 ， 该 网 络 可 提供 独特 的 在 任何 时 间 、 任 何 地 点 的 通信 能 力 。 

如 果 如 笔记 本 计算 机 ( 膝 上 机 ) 或 耳语 音 (VoIP) 电话 等 端 用 户 设备 不 能 通过 
DHCP 得 到 一 个 地址 ， 那 么 这 些 设备 将 是 不 可 用 的 ， 此 时 用 户 将 会 给 服务 台 打 电 
话 。 类 似 地 ， 如 果 没 有 正确 配置 DNS， 则 依据 名 字 、 电 话 号 码 或 网 页 地 址 导航 的 应 用 
将 同样 地 受到 影响 ， 并 导致 服务 台 接 到 大 量 呼叫 电话 。 

在 一 个 企业 或 服务 提供 商 的 IP 网络 管理 策略 中 ， 有 效 的 IPAM 实践 是 一 项 核心 
构成 。 如 此 ，IPAM 地 址 配置 、 变 更 控制 、 审 计 、 报 告 、 监 视 、 故 障 解决 和 有 关 功 能 ， 
都 适用 于 以 下 三 项 基础 I PAM 技术 。 

(1) 耳 地 址 子 网 划分 和 记录 跟踪 (IPv4/IPv6 寻 址 ) : 一 项 周密 的 IP 地 址 规划 的 
维护 ， 这 可 提升 路 由 汇总 、 维 护 准确 的 IP 地 址 清单 ， 并 提供 一 项 自动 的 各 IP 地 址 指 
派 和 记录 跟踪 机 制 。 在 每 个 子 网 上 各 IP 地 址 指派 的 这 项 记录 跟踪 措施 ， 包 括 由 看 纺 
码 指派 的 那些 地 址 (例如 路 由 器 或 服务 器 ) 以 及 其 他 动态 指派 的 那些 地 址 〈 例 如 笔 
记 本 计算 机 和 VoIP 电话 )。 

(2) DHCP; 与 位 置 和 设备 类 型 有 关 的 自动 耻 地 址 和 参数 指派 。 这 要 求 对 配置 于 设备 
上 的 地 址 指派 记录 跟踪 ， 以 及 预 留 动态 分 配 的 地 址 池 。 为 了 支持 设备 请 求 一 个 也 地 址 ， 
并 相应 地 接收 到 一 个 位 置 相关 的 地 址 ， 可 将 这 些 地 址 配置 于 DHCP 服务 器 上 。 

(3) DNS; 主机 名 的 查找 或 解析 ， 例 如 将 www 表 项 映射 到 IP 地址 。IP 地 址 管理 
的 这 第 三 项 关键 功能 处 理 的 是 ， 通 过 使 用 名 字 而 不 是 IP 地 址 建立 全 通信， 简化 了 了 P 
BEWARE. PE, MRAM IP 地址 必须 与 P 地址 规划 保持 一 致 。 

在 本 书 前 三 部 分 中 ， 讨 论 了 组 成 这 三 项 核心 功能 的 各 项 技术 。 在 第 人 部 分 。 的 
IPAM 实践 中 ， 解 释 了 它们 的 相互 关系 以 及 紧密 一 致 地 管理 它们 的 各 项 实践 。 多 数 IP 
网 络 在 不 断 地 发 生 着 变化 ， 原 因 是 日 常 的 商务 需求 ， 如 开 新 店 、 办 公 场 所 关闭 或 搬 
迁 、 注 册 公 司 以 及 新 的 设备 和 设备 类 型 都 需要 IP 地 址 。 影 响 IP 网 络 的 这 些 变化 以 及 
其 他 变化 对 现 有 IP 地 址 规划 具有 重大 影响 。 随 着 用 户 数 和 IP 地 址 数 的 增加 ， 以 及 子 
网 (或 站 点 ) 数量 增加 ，IP 地 址 分 配 、 各 项 指派 以 及 相关 DNS 服务 器 和 DHCP 服务 
器 配置 等 的 跟踪 记录 以 及 管理 任务 的 复杂 度 也 增加 了 。 


@ 实际 上 ， 在 相应 技术 章节 中 ， 讨 论 了 组 成 IPAM 实践 的 几 项 措施 ， 而 且 将 这 几 项 措施 汇总 于 第 部 
分 的 整体 实践 中 。 
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如 今 执行 IPAM 功能 的 最 常见 方法 包括 使 用 电子 表格 跟踪 记录 IP 地 址 ， 使 用 文 
本 编辑 器 或 微软 Windows 配置 DHCP 和 DNS 服务 器 。 如 此 ， 将 使 用 样 例 电子 表格 数 
据 和 配置 文件 范例 ， 将 其 应 用 到 名 为 IPAM 全 球 公司 的 一 个 虚构 组 织 机 构 ， 由 此 在 整 
部 书 通 篇 展示 IPAM 概念 。 这 样 做 的 意图 是 将 技术 和 配置 细节 与 一 个 真实 世界 范例 联 
系 起 来 。 

本 书 结构 

本 书 分 成 为 四 部 分 。 本 书 前 三 部 分 的 焦点 分 别 是 三 项 核心 IPAM 功能 : IP 寻 址 和 
管理 、DHCP 和 DNS。 第 人 部 分 集成 这 三 部 分 ， 描 述 管理 技术 和 实践 。 

第 工 部 分 : IP 寻 址 。 本 部 分 给 出 IPv4、IPv6 以 及 IP 分配 和 子 网 划分 技术 的 详细 
综述 。 

第 1 章 : 因特网 协议 。 本 章 从 回顾 了 P 首 部 开始 ， 到 分 类 的 、 无 类 的 和 专用 PF 
址 ， 全 面 讲解 IP (IPv4)， 讨论 因 特 网 协议 的 演化 过 程 以 及 作为 保留 全 球 IP 地 址 空间 
关键 技术 的 网 络 地 址 转换 和 私有 寻 址 技术 的 发 展 过 程 。 

第 2 章 : IPv6 (因特网 协议 版 本 6)。 本 章 描 述 IPv6 首部 和 IPv6 寻 址 ， 包 括 地 址 
表示 、 结 构 和 当前 因特网 编号 管理 局 (IANA) 分 配 。 本 章 包括 依据 类 型 而 分 的 各 种 
地 址 ( 即 保留 地 址 、 全 局 单 播 地 址 、 唯 一 本 地 单 播 地 址 、 链 路 本 地 地 址 和 组 播 地 址 ) 
分 配 的 详细 讨论 ， 也 描述 了 特殊 用 途 的 地 址 ， 包 括 请 求 (solicited) 节点 地 址 和 节点 
信息 查询 地 址 。 本 章 接 下 来 讨论 修改 的 EUI-64 算法 和 地 址 自动 配置 ， 最 后 以 保留 的 
子 网 任意 播 地 址 和 IPv6 主机 所 必需 的 地 址 讨论 结束 本 章 。 

第 3 章 : IP 地 址 分 配 。 本 章 讨论 IPv4 和 IPv6 地 址 空间 IP 地 址 块 分 配 的 各 项 技 
术 ， 包 括 最 佳 拟 合 层次 结构 地 址 分 配 逻 辑 和 范例 ， 以 及 IPv6 HHA PMN DA 
法 。 本 章 也 讨论 独特 的 本 地 地 址 空间 和 因特网 注册 机 构 的 作用 。 地 址 块 分 配 是 IP 地 
址 管理 的 一 项 重要 功能 ， 它 为 DHCP 和 DNS 服务 的 配置 黄 定 了 基础 。 

ZIRA: 动态 主机 配置 协议 (DHCP)。 本 部 分 给 出 IPv4 DHCP 和 IPv6 DHCP 
的 概述 ， 并 讲解 依赖 于 DHCPv6 的 各 项 应 用 、DHCP 服务 器 部 署 策略 以 及 DHCP 和 相 
关 的 网 络 访问 安全 。 

第 4 章 : DHCP。 本 章 描述 DHCP， 包 括 协 议 状态 、 消 息 格 式 、 选 项 和 范例 的 讨 
论 。 给 出 标准 选项 参数 及 其 描述 的 一 览 表 。 

第 5 章 : 用 于 IPv6 的 DHCP (DHCPv6)。 本 章 讲 解 DHCPv6， 包 括 与 DHCPv4 的 
比较 、 消 息 格式 、 选 项 和 范例 。 并 给 出 DHCPv6 选项 参数 的 一 览 表 。 

第 6 章 : DHCPv6 的 各 项 应 用 。 在 前 面 两 章 的 技术 性 讨论 之 后 ， 本 章 重 点 突出 了 
DHCP 的 终端 用 户 工 具 ， 描 述 依赖 于 DHCP 的 各 项 关键 应 用 ， 包 括 VoIP 设备 准备 工 
作 、 宽 带 接 入 准备 工作 、PXE (Preboot execute Environment, fi Æ 动 执行 环境 ) 客户 
端 初 始 化 和 租 期 限制 。 

第 7 章 : DHCP 服务 器 部 署 策 略 。 本 章 从 服务 器 尺寸 确定 、 数 量 和 位 置 等 方面 讲 
解 DHCP 服务 器 部 署 的 折 中 考虑 因素 。 将 讨论 涉及 分 布 式 方法 和 中 心 式 方法 的 DHCP 
部 署 选项 ， 也 将 讨论 元 余 的 DHCP 配置 。 

第 8 章 : DHP 和 网 络 接 入 安全 。 本 章 讲 解 DHCP 安全 考虑 因素 ， 并 讨论 DHCP 
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作为 一 个 组 件 的 网 络 接 入 安全 问题 。 描 述 一 个 DHCP 受 控 的 门户 配置 范例 ， 作 为 有 关 
网 络 接 入 控制 (NAC) 方法 的 一 个 总 结 ， 其 中 包括 基于 DHCP 的 方法 ， 基 于 交换 机 
的 、Cisco NAC 和 微软 NAP 方 法 。 

第 亚 部 分 : 域名 系统 (DNS) 。 本 部 分 描述 DNS 协议 、DNS 应 用 、 部 署 策 略 和 相 
关联 的 配置 以 及 安全 (包括 DNS 服务 器 和 配置 的 安全 以 及 DNSSEC)。 

第 9 章 : DNS 协议 。 本 章 给 出 DNS HR, 包括 DNS 概念 、 消 息 细节 以 及 协议 
扩展 的 讨论 。 讲 解 的 DNS 概念 包括 基本 解析 过 程 ， 前 向 域 和 反 向 域 、 根 信息 、 本 地 - 
主机 域 等 的 域 树 ， 以 及 解析 器 配置 。 消 息 细节 包括 DNS 的 编码 (包括 DNS 头 部 、 标 
签 格式 ) 以 及 国际 域名 的 综述 。DNS 更 新 消息 格式 化 过 程 也 作为 EDNS0 加 以 讨论 。 

第 10 章 : DNS 应 用 和 资源 记录 。 在 第 9 章 的 基础 上 ， 本 章 描 述 依赖 于 DNS 的 关 
键 应 用 ， 包 括 域名 解析 、 服 务 定位 、ENUM (Telephone Number Mapping， 电 话 号 码 映 
射 )、 采 用 黑 / 白 名 单列 表 的 反 垃圾 技术 、SPF (Sender Policy Framework, 发送 者 策略 
框架 ) Sender (发 送 者 ID) ID 和 DKIM (Domain Keys Identified Mail, 域名 密 钥 可 识 
别 的 邮件 )。 在 相关 联 资源 记录 的 上 下 文中 给 出 应 用 支持 的 讨论 内 容 。 

第 11 章 : DNS 服务 器 部 署 策略 。 在 本 章 中 ， 讲 解 DNS 部 署 策 略 和 所 做 出 的 折 
中 。DNS 服务 器 部 署 场景 包括 外 部 DNS、 因 特 网 缓存 、 隐 藏 的 主 控 /从 属 (masters/ 
slaves)、 多 主 控 、 视 图 、 转 发 、 内 部 根 和 任意 播 。 

第 12 章 : 保障 DNS 安全 (第 I 部 分 )。 本 章 是 有 关 DNS 安全 的 两 章 中 的 第 I 部 
分 。 本 章 讲解 与 DNS 安全 有 关 的 各 种 话题 ， 不 包括 DNSSEC (DNS 安全 扩展 ) (在 有 
关 DNSSEC 的 一 章 中 讲述 ) 。 首 先 给 出 已 知 的 DNS 弱点 ， 接 下 来 给 出 每 个 弱点 的 缓解 
As 

第 13%: 保障 DNS 安全 (第 开 部 分 ) : DNSSEC。 本 章 详细 讲解 DNSSEC， 讨 论 
FERA., KER (zone) 签名 、 安 全 地 解析 名 字 和 轮换 (rolling) 密 钥 的 过 程 ， 还 讨 
论 一 个 范例 配置 。 

BWA: IP 地 址 管理 (IPAM) 集成 。 本 部 分 整合 前 三 部 分 ， 讨 论 了 紧密 一 臻 
管理 IP 地 址 空间 的 各 项 技术 ， 包 括 对 DHCP 和 DNS 的 影响 。 

第 14 章 : IPAM 实践 。 本 章 描述 日 常 了 管理 功能 ， 包 括 IP 地 址 分 配 和 指派 、 重 
新 编号 、 移 动 、 分 割 、 合 并 、DHCP 和 DNS 服务 器 配置 、 地 址 清单 管理 、 故 障 管理 、 
性 能 监测 和 灾难 恢复 。 本 章 是 围绕 FCAPS 网 络 管理 模型 组 织 的 ， 强 调 了 将 一 种 科学 
性 的 “网 络 管理 ”方法 应 用 到 IPAM 的 必要 性 。 

第 15 章 : IPv6 部 署 和 IPv4 共存 。 在 一 个 IPv4 网 络 中 实现 IPv6， 将 促进 IPv4 和 
IPv6 协议 的 长 期 共存 。 本 章 给 出 共存 策略 的 细节 ， 将 其 分 组 为 有 关 双 栈 、 隧 道 方法 
和 转换 技术 等 节 。 涵 盖 内 容 包 括 6to4、ISATAP、6over4 、Teredo、DSTM ,及 隧道 代理 
打 隧 道 方法 ， 和 NAPT-PT、SOCKS、TRT、ALG 以 及 栈 中 打 攀 子 或 API 转换 方法 。 本 
章 以 一 些 基本 迁移 场景 结束 。 


Timothy Rooney 
宾夕法尼亚 州 ，Norristown 
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第 I 部 分 开始 讨论 IPAM 的 第 一 块 基石 : IP 寻 址 。 本 部 分 涵盖 IPv4 协议 、IPv6 
协议 和 地 址 块 管理 技术 。 


1.1 因特网 协议 历史 的 精彩 部 分 


因特网 协议 (IP) 改变 了 所 有 事物 。 我 在 美国 电话 电报 公司 (AT&T) 贝尔 实验 
室 的 早期 生涯 ， 当 时 是 20 世纪 80 年 代 中 期 ， 我 们 使 用 号 终端 连接 到 大 型 计算 机 的 主 
机 (mainframe) ， 连 网 领域 才 开始 支持 智能 的 分 布 式 处 理 ， 这 个 处 理 过 程 从 一 个 中 心 
化 的 大 型 计算 机 主机 到 连 网 的 服务 器 、 路 由 器 ， 最 终 才 连接 到 个 人 计算 机 。 既 然 提 到 
了 我 的 过 去 ， 就 继续 说 ， 在 稍 后 一 段 时 间 ， 许 多 竞争 性 的 连 网 技术 都 希望 竞争 得 到 在 
企业 部 署 的 位 置 ， 但 却 没有 分 出 伯仲 。 完 全 不 同 的 连 网 协议 和 技术 的 部 署 ， 导 致 各 组 
织 机 构 间 不 能 相互 通信 ， 直 到 20 世纪 90 年 代 ， 多 亏 了 因特网 的 广 受 拥戴 ， 因 特 网 协 
议 才 成 为 世界 范围 事实 上 的 连 网 协议 。 


800,000,000 
700,000,000 
600,000,000 
500,000,000 


第 1 章 ”因特网 协议 


因特网 域 调查 主机 数 统计 











400,000,000 
300,000,000 
200,000,000 
100,000,000 


一 一 一 一 一 一 一 一 一 一 


图 1-1 1993-201003] 期 间 因特网 主机 的 增长 情况 (来 源 : 
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如 今 的 现状 是 ， 因 特 网 协议 是 世界 范围 内 得 到 最 广泛 部 署 的 网 络 层 协议 。 从 20 
世纪 60 年 代 开始 的 美国 国防 部 资助 的 一 项 连 网 项 目 诞生 伊始 ， 到 目前 为 止 , 传输 控 
制 协 议 / 因 特 网 协议 (TCP/IP) 族 已 经 演化 并 规模 扩展 到 可 支持 数 百 台 计算 机 到 数 亿 
台 计算 机 构成 的 各 种 类 型 网 络 。 事 实 上 ， 依 据 因特网 系统 联盟 (Internet Systems Con- 
sortium, ISC) 调查 结果 ,在 因特网 上 设备 或 主机 “的 数量 在 2010 年 初 就 超过 7 亿 
3000 万 台 ， 在 过 去 6 年 间 ， 每 年 平均 增加 7500 万 台 主 机 ( 见 图 1-1)。 因 特 网 已 经 从 
一 个 研究 项 目 无 颖 地 扩展 到 连接 有 超过 7 亿 3000 万 台 主 机 的 一 个 巨型 网 络 ， 这 样 的 
事实 是 对 因特网 开发 人 员 的 理想 展 悍 的 实证 ， 以 及 是 该 网 络 底层 技术 设计 强健 性 的 
实证 。 

因特网 协议 “最 初 ”是 1980 年 在 请 求 评述 (RFCS) 760 和 791") 中 定义 的 ， 
是 由 德高望重 的 Jon Postel 编辑 的 。 我 们 引用 “最 初 ”的 说 法 ， 是 因为 Postel 先生 在 
他 的 前 言 中 指出 ， 虽 然 在 RFC 791 中 它 被 称 作 版 本 4 (IPv4)， 但 它 是 构筑 在 ARPA 
(高 级 研究 项 目 局 ， 这 是 美国 国防 部 的 一 个 局 ) 因特网 协议 前 6 个 较 早 版 本 基础 上 
的 。RFC 791 陈述 说 ， 因 特 网 协议 执行 两 项 基本 功能 : 寻 址 和 分 段 。 虽 然 这 看 起 来 可 
能 使 那 时 及 以 后 实现 的 因特网 协议 的 许多 其 他 功能 和 特征 不 那么 重要 ， 但 对 于 任何 一 
名 协议 设计 者 而 言 ， 它 实际 上 重点 突出 了 这 两 个 主要 话题 的 重要 性 。 分 段 实施 如 下 功 
能 : 将 消息 分 割 成 许多 IP 报 文 ， 从 而 使 它们 可 在 具有 有 效 报 文 尺寸 约束 的 网 络 上 进 
行 传输 ， 并 在 目的 地 以 正确 的 顺序 对 报 文 实施 组 装 。 当 然 ， 寻 址 是 本 书 的 关键 话题 之 
一 ， 所 以 确保 要 求 可 达 性 的 主机 的 唯一 可 寻 址 能 力 ， 对 于 基本 协议 操作 而 言 ， 这 就 是 
至 关 重 要 的 了 。 

因特网 已 经 成 为 日 常 个 人 和 商务 工作 的 一 个 不 可 分 割 的 工具 ， 其 上 有 各 种 应 用 ， 
如 电子 邮件 、 社 会 网 络 、 万 维 网 浏览 、 无 线 接 和 信和 语音 通信 。 因 特 网 确实 已 经 成 为 现 
代 社 会 的 一 项 关键 组 成 元 素 。 正 如 你 所 关注 的 ,，“ 因 特 网 ”( Internet) 这 个 术语 从 因 
特 网 技术 早期 开发 人 员 所 用 术语 的 小 写 形 式 变化 而 来 的 ， 现 在 指 互相 连接 网 络 或 
“互联 网 ” 间 的 各 种 通信 。 

如 今 ， 大 写 的 “Interet” (因特网 ) ， 即 我 们 日 常 使 用 的 全 球 因特网 ， 已 经 成 为 
互相 连接 网 络 的 一 个 巨型 网 络 。 使 所 有 这 些 网 络 以 及 在 这 些 网 络 之 上 的 主机 高 效 地 协 
作 ， 并 交换 用 户 间 的 通信 ， 这 就 要 求 遵守 这 些 通信 的 规则 集 。 这 个 规则 集 ， 即 这 个 协 
议 ， 定 义 了 标识 每 台 主 机 或 端点 的 方法 以 及 在 一 个 网 络 上 如 何 使 信息 从 点 A 传递 到 
点 B 的 方法 。 因 特 网 协议 使 用 IP Hoc 〈 每 个 下 报 文 前 面 都 有 一 个 耳 首部 ) 这 个 运 
ALR, 规范 了 通信 的 这 种 规则 。 


O ”网络 层 指 开放 系统 互 连 (0S) 7 层 协议 模型 的 第 3 JZ. P 的 设计 目的 是 与 第 4 层 〈 传 输 层 ) 的 
传输 控制 协议 (TCP) 或 用 户 数据 报 协议 (UDP) 一 起 使 用 ， 因 此 才 有 了 TCP/IP 族 的 术语 。 在 名 
为 《IP 地 址 管理 绪论 》 (参考 文献 11) HBP, 讨论 了 0SI 模型 和 IP 连 网 的 常识 。 

OQ “主机 ”(host) 这 个 术语 是 相对 于 一 台 路 由 器 或 中 间 设 备 而 言 的 ， 指 通信 路 径 中 的 一 个 端 节点 。 

O 因特网 协议 继续 演化 发 展 ， 它 的 规范 是 以 顺序 编号 的 RFC 形式 归档 的 。 因 特 网 工程 任务 组 
(IETF) 是 一 个 开放 的 没有 正式 成 员 的 社团 组 织 ， 它 负责 发 布 RFC。 
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1.1.1 PH 


TCP/IP 族 内 部 的 全 层 从 TCP 或 UDP 传输 层 接收 数据 ， 并 为 该 数据 添加 一 个 IP 
首部 。 分 布 于 到 最 终 目的 地 的 整 条 路 径 上 的 各 台 路 由 器 分 析 这 个 IP 首部 ， 最 终 将 每 
条 卫 报 文 交 付 到 该 报 文 的 最 终 目的 地 ， 最 终 目的 地 是 由 首部 中 的 目的 TP 地 址 标识 
的 。RFC 791 将 IP 地 址 结构 定义 为 32bit 结构 ， 该 结构 开始 是 一 个 网 络 号 ， 接 下 来 是 
一 个 本 地 地 址 。 在 每 个 卫 报 文 的 首部 中 携带 该 地 址 。 图 1-2 展示 出 IP 首部 的 各 字段 。 
每 个 卫 报 文 包含 一 个 正 首 部 ， 接 下 来 是 报 文 内 部 的 数据 内 容 ， 该 内 容 包括 较 高 层 协 
议 的 控制 信息 。 


Obi 4 





31 








图 1-2 IPv4 首部 字段 5 


(1) 版 本 (Version) 。 因 特 网 协议 版 本 ， 在 这 种 情形 中 是 4。 

(2) 首部 长 度 (Header Length) (因特网 首部 长 度 ，IHL)。 以 称 为 “ 字 ” 的 
32bit 单元 表示 的 IP 首部 长 度 。 例 如 ， 最 小 首部 长 度 是 5， 在 图 1-2 中 突出 显示 为 浅 
色 阴 影 字段 ， 它 由 5 个 字 x32bit/ 字 =160bit AM. 

(3) 服务 类 型 (Type of Service) 。 与 报 文 的 服务 质量 (QoS) 有 关 的 参数 。 最 初 
定义 为 ToS (服务 类 型 ) ， 这 个 字段 由 一 个 3bit 优先 级 字段 和 另 一 个 3bit 组 成 ， 前 3bit 
支持 区 分 一 个 特定 报 文 的 相对 重要 性 ， 后 3bit 分 别 用 来 请 求 低 延 迟 、 高 吞吐 量 或 高 可 
靠 性 的 服务 。 

TE RFC 2474“IPv4 和 IPv6 首部 中 ， 区 分 服务 字段 (DS 字段 ) 的 定义 ” (177) 
重新 定义 了 原始 的 ToS 字段 。DS 字段 (或 称 区 分 服务 字段 ) 提供 了 一 个 6bit 的 码 点 
(DSCP， 区 分 服务 码 点 ) FE, MAR 2bit 未 用 。 码 点 映射 到 一 项 预定 义 的 服务 ， 接 下 
来 该 服务 被 关联 到 由 网 络 提 供 的 一 个 服务 等 级 。 随 着 因特网 权威 机 构 以 相应 的 服务 处 
理 法 定义 新 的 码 点 ， 则 IP 路 由 器 可 实施 对 应 于 所 定义 码 点 的 路 由 处 理 方法 ,例如 ， 
针对 延迟 敏感 的 应 用 实施 较 高 优先 级 的 处 理 。 
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(4) 总 报 文 长 度 (Total Packet Length), UF (Byte) (8bit 长 的 字符 ) 表示 的 
整个 IP 报 文 的 长 度 。 

(5) 标识 符 (Identification)。 为 每 条 报 文 赋予 值 ， 有 助 于 在 接收 端 对 报 文 分 段 进 
行 组 装 。 

(6) 标志 (Flags)。 这 个 3bit 字段 定义 如 下 : 

1) bit 0 是 保留 的 ， 必 须 为 0。 

2) bit 1 一 一 不 要 分 段 一 一 表明 这 条 报 文 不 能 分 段 。 

3) bit 2 一 一 更 多 分 段 一 一 表明 这 条 报 文 是 一 个 分 段 ， 但 这 不 是 最 后 一 个 分 段 。 

(7) DEM (Fragment Offset) 。 标 识 这 个 分 段 相对 于 原始 报 文 开 始 部 分 的 位 
置 ， 是 以 64bit 的 “ 双 字 ”为 单位 标识 的 。 

(8) 存活 时 间 (TTL)。 一 个 计数 器 ， 在 每 个 路 由 跳 要 减 1; 一 旦 TTL 到 达 0， 则 
报 文 被 丢弃 。 这 个 参数 防止 报 文 在 因特网 中 永久 地 循环 而 不 消失 。 

(9) 协议 (Protocol), HHE IP 处 理 之 后 ,将 接收 这 条 报 文 的 上 层 协 议 ， 例如 
TCP 或 UDP。 

(10) 首部 校 验 和 (Header Checksum) 。 对 首部 各 比特 计算 得 到 的 一 个 校 验 和 值 ， 
目的 仅 是 验证 该 首部 没有 损坏 而 已 。 

(11) 源 IP 地 址 (Source IP Address)。 这 条 报 文 的 发 送 者 的 IP 地 址 。 

(12) 目的 地 IP 地 址 (Destination IP Address)。 这 条 报 文 的 预期 接收 者 的 IP 
地 址 。 

(13) 选项 (Options)。 包 含 零 个 或 多 个 可 选 参 数 的 可 选 字段 ， 支 持 路 由 控制 
( 源 路 由 )、 诊 断 (trace route (跟踪 路 由 ) 、 最 大 传输 单元 (MTU) RB) 等 。 


32bit IP 地 址 11o0ooooolooooooooloooooooo oiloolooi 


以 点 (. ) 分 隔 192.0.2.73 





图 1-3 ”二进制 到 点 分 十 进 制 的 转换 


如 果 你 发 现 IP 首部 细节 的 这 个 解释 有 点 滑稽 ， 那 也 没有 什么 。 现 在 让 我 们 将 关 
注 焦点 放 在 源 IP 地 址 和 目的 地 IP 地 址 字段 以 及 卫 寻 址 结构 上 。 


1.2 IP ik 


IP 地 址 字段 是 由 32bit 组 成 的 。 人 们 所 熟悉 的 一 个 瑟 地 址 点 分 十 进 制 表示 法 ， 反 
映 了 将 32bit 地 址 分 割 成 四 个 8bit 字 节 的 想法 。 将 四 个 字 节 的 每 个 字 节 都 转换 为 十 进 
制 ， 之 后 以 十 进 制 点 或 “点 ”(dots) 将 它们 隔离 开 。 相 比 于 将 这 些 32bit 作为 一 个 大 
数 计算 的 方法 ， 这 当然 要 容易 得 多 ! 考虑 图 1-3 中 的 32bit IP 地 址 。 简 单 地 将 这 个 地 
址 分 割 成 四 个 字 节 ， 把 每 个 字 节 转换 为 十 进 制 ， 之 后 将 每 个 字 节 的 十 进 制 表示 以 
“点 ” 隔 开 。 由 此 ， 得 到 “点 分 十 进 制 ”的 术语 。 
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1.2.1 基于 类 别 的 寻 址 9 


RFC 791" 定义 了 三 个 类 别 的 地 址 : A、B 和 C 类 。 这 些 类 别 由 图 1-4 所 示 的 
32bit 地 址 的 前 几 个 比特 加 以 识别 。 每 个 类 别 对 应 于 一 个 特定 尺寸 (大 小 ) 的 网 络 号 
和 本 地 地 址 字段 。 本 地 地 址 字段 可 被 指派 到 独立 的 主机 或 进一步 分 成 子 网 和 主机 字 
段 ， 我 们 将 在 后 面 讨论 。 

将 地 址 空间 分 成 类 别 的 做 法 ， 为 针对 不 同 用 户 的 需要 而 方便 地 定义 不 同 大 小 的 网 
络 提供 了 一 种 方法 。 当 时 ， 因 特 网 是 由 某 些 美国 政府 部 门 、 大 学 和 一 些 研究 机 构 组 成 
的 。 它 还 没有 盛行 成 为 像 今天 一 样 事实 上 的 世界 范围 骨干 网 络 ， 所 以 地 址 容量 看 来 似 
乎 是 无 限 的 。 在 这 些 字 节 边 界 上 将 地 址 空间 分 成 类 别 的 另 一 个 原因 是 ， 比 较 容 易 实 现 
网 络 路 由 。 简 单 地 检查 目的 地 址 的 前 几 个 比特 ， 路 由 器 就 能 够 识别 网 络 号 字段 的 长 
度 。 之 后 路 由 器 将 简单 地 在 它们 的 路 由 表 中 查找 这 个 IP 地 址 的 网 络 号 部 分 ， 并 据 此 
路 由 每 条 报 文 。 在 那些 日 子 里 ， 计 算 能 力 是 相当 有 限 的 ， 所 以 最 小 化 处 理 需求 是 另 一 
项 考虑 因素 。 分 类 寻 址 的 一 个 副作用 是 简单 的 可 达 性 。 每 个 点 分 十 进 制 数 表示 二 进 制 
中 的 一 个 字 节 。 就 如 我 们 以 后 将 了 解 到 的 ， 当 讨论 无 类 别 寻 址 时 ， 如 今 的 典型 情况 并 
不 是 上 面 提 到 的 情况 。 


A 类 
bit 号 0 1 78 31 





(0 ”网络 号 hi 





B 类 
bit 号 0 15 16 
网络 号 14bit 





C 类 
e 1 二 a 23 24 Sel 


网 络 号 21bit 





图 1-4 基于 类 别 的 寻 址 


仔细 研究 这 个 基于 类 别 的 寻 址 结构 ， 我 们 可 观察 到 一 些 关键 点 : 

(1) A 类 网 络 

E A 类 前 级 以 二 进 制 0([0],) 开始 ， 加 上 7 个 附加 比特 ,或 说 网 络 地 址 部 分 
总 共有 8bit 

国 全 0 网 络 地 址 是 无 效 的 2 。 

国 网 络 地 址 [01111111], =127 是 一 个 保留 地 址 。 地 址 127.0.0.1 用 于 一 个 接口 
上 的 “回环 地 址 ”。 


四 ”本 章 后 面 大 部 分 内 容 利 用 了 参考 文献 [11] 第 2 章 的 资料 。 

”在 可 能 存在 二 义 性 的 场合 ,为 了 区 分 一 个 二 进 制 0 (1bit) 和 一 个 十 进 制 0 (7 或 8bit) ， 我 们 以 适 
当 的 基数 作为 下 标 。 不 要 担忧 ; 我 们 不 会 离 题 到 化 学 方面 去 讨论 以 0, 表示 氧气 分 子 式 ， 这 里 是 
简单 的 “以 2 为 基 的 数字 0” 

全 ”但 一 些 协议 〈 例 如 DHCP) 使 用 全 0 地 址 作为 “这 个 〈 本 ) ”地 址 的 位 置 保留 符 
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图 这 样 的 结果 是 ,一 个 A 类 网 络 前 缀 第 一 个 字 节 的 范围 是 [00000001 J, 到 
[01111110], =1 ~126, 

国 本 地 地 址 字段 的 长 度 是 24bit。 这 等 于 每 个 网 络 地 址 空间 (ARMA) ABW 
2” =16777216 个 可 能 的 本 地 地 址 。 一 般 来 说 , 全 0 本 地 地 址 表示 该 “网 络 ” 地 址 ， 
全 1 地 址 是 网 络 广播 地 址 ， 所 以 通常 我 们 从 本 地 地 址 容量 中 减 去 这 两 个 地 址 ， 这 样 得 
到 每 个 A 类 网 络 有 16777214 个 主机 地 址 。 因 此 ，10.0.0.0  10.0.0.0/8 的 网 络 地 
址 ，10. 255. 255. 255 是 到 10. 0. 0. 0/8 网 络 上 所 有 主机 的 广播 地 址 。 

(2) B 类 网 络 

国 B 类 网 络 以 [10], 开始 ,加 上 14 个 附加 比特 , 或 说 网 络 地 址 部 分 总 共 
有 16bit。 | 

国 以 二 进 制 表 示 的 B 类 网 络 前 缀 范围 是 [10000000 00000000], 到 [10111111 
11111111], 或 网 络 范围 是 128. 0. 0. 0 到 191. 255.0.0, 得 到 16384 个 网 络 地 址 。 

国 本 地 地 址 字段 的 长 度 是 16bit， 每 个 B 类 网 络 有 65536-2 = 65534 个 可 能 的 主机 
地 址 。 

(3) C 类 网 络 

国 C 类 网 络 以 [110], 开始 ， 加 上 21 个 比特 附加 ,或 说 网 络 地 址 部 分 总 共 
有 24bit。 

mc 类 网 络 前 级 的 范围 是 [11000000 00000000 00000000 ], 到 [11011111 
11111111 11111111], 或 网 络 范围 是 192.0.0.0 到 223. 255.255.0, 得 到 2097152 个 
网 络 。 

国 本 地 地 址 字段 的 长 度 是 8bit， 每 个 C 类 网 络 有 256-2 =254 个 可 能 的 主机 地 址 。 

(4) D 类 网 络 (在 图 1-4 中 没有 画 出 ) 

ED 类 网 络 是 在 RFC 791 之 后 定义 的 ， 表示 组 播 地 址 ， 是 从 [1110], 开始 的 。 
组 播 可 用 于 流 化 应 用 ， 在 其 中 多 个 用 户 或 署名 用 户 (subscribers) 从 一 个 共同 的 源 接 
收 一 系列 的 IP 报 文 。 换 名 话说 ， 具 有 一 个 共同 组 播 地 址 的 多 台 主 机 将 接收 到 发 送 到 
组 播 组 或 地 址 的 所 有 IP 流量 。 组 播 网络 没 有 网 络 部 分 和 主机 部 分 ， 原因 是 一 个 组 播 
组 的 各 成 员 可 能 处 于 许多 不 同 的 物理 网 络 之 上 。 

MD 类 网 络 的 范围 是 从 [11100000 00000000 00000000 00000000], 到 [11101111 
11111111 11111111 11111111], 或 网 络 范围 是 224. 0.0.0 到 239. 255. 255.255， 得 到 
268435456 个 组 播 地 址 。 

(5) ERAS (在 图 1-4 中 没有 画 出 ) 

MAU [1111], (EX) 开始 的 网 络 。 


1.2.2 因特网 增长 带 来 的 痛苦 


因为 拥有 似乎 无 限 的 IP 地 址 容量 ， 至 少 在 整个 20 世纪 80 年 代 看 来 是 这 样 的 ， 
所 以 A 类 和 B 类 网 络 就 通常 分 配给 请 求 这 些 网 络 地 址 的 单位 或 组 织 。 之 后 接收 到 网 
络 地 址 的 组 织 机 构 将 他 们 的 A 类 或 B 类 网 络 沿 字 节 边界 在 他 们 的 组 织 内 部 进行 切 分 


第 1 章 因特网 协议 7 





或 子 网 划分 ” 。 要 记 住 的 是 ， 每 个 “网 络 ”， 即 使 在 一 个 公司 内 部 ， 也 需要 有 一 个 唯 
一 的 网 络 号 或 前 缀 来 维持 地 址 唯一 性 ， 并 维持 路 由 完整 性 。 

子 网 划分 法 为 通信 和 路 由 协议 更 新 提供 了 路 由 边界 。IP 报 文 要 穿越 的 每 个 网 络 ， 
都 要 求 有 其 自己 的 IP 网 络 号 (网 络 地 址 )。 随 着 越 来 越 多 的 公司 通过 请 求 PP 地 址 空 
间 ， 寻 求 加 入 到 因特网 ， 因 特 网 注册 机 构 (Internet Registries， 该 机 构 负责 分 配 IP 地 
址 空间 ) 被 强迫 放 慢 分 配 地 址 的 速度 。 那 些 从 因特网 注册 机 构 请 求 IP 地 址 的 公司 ， 
很 快 面临 着 日 渐 紧 迫 〈Stringent) 的 应 用 需求 ， 因 此 被 授权 使 用 所 请 求 地 址 空间 的 一 
部 分 ( 注 : 也 许 是 几 分 之 一 ) 。 在 不 得 已 以 较 小 网 络 地 址 块 分 配 应 对 地 址 需求 的 情况 
下 ,许多 机 构 被 迫 在 非 字 节 边界 进行 子 网 划分 。 

无 论 是 否 在 字 节 边界 实施 操作 ， 通 过 和 网 络 地 址 一 起 指派 一 个 网 络 掩 码 的 手段 ， 
子 网 划分 法 得 以 顺利 进行 。 网 络 掩 码 是 一 个 整数 ， 代 表 以 比特 表示 的 网 络 前 级 的 长 
度 。 有 时 这 也 被 称 作 掩 码 长 度 。 例 如 ， 一 个 A 类 网 络 的 掩 码 长 度 为 8， 一 个 B 类 网 络 
的 掩 码 长 度 为 16, 一 个 C 类 网 络 的 掩 码 长 度 为 24。 采 用 本 质 上 扩展 网 络 号 长 度 ( 路 
由 器 在 每 条 报 文中 均 要 实施 网 络 号 长 度 的 检查 ) 的 方法 ， 就 能 够 支持 较 大 数量 的 网 
络 ， 并 可 更 灵活 地 分 配 地 址 空间 。 这 在 图 1-5 中 进行 了 图 示 说 明 。 






so ...... — 
图 1-5 子 网 划分 法 采用 每 个 网 络 较 少 主机 的 方法 ， 提 供 了 更 多 的 “网 络 ” 


路 由 器 需要 以 这 个 掩 码 长 度 为 它们 所 服务 的 每 个 子 网 进行 配置 。 这 就 使 这 些 路 由 
器 能 够 对 IP 地 址 实施 “ 掩 码 ”， 例 如 ， 仅 输出 所 指明 的 网 络 ， 并 在 32bit IP 地 址 内 部 
对 各 比特 进行 子 网 划分 ， 从 而 在 不 依赖 于 地 址 类 别 的 条 件 下 ， 就 能 够 进行 高 效 的 路 由 
操作 。 依 据 这 个 扩展 的 网 络 号 ， 该 路 由 器 能 够 相应 地 对 报 文 进行 路 由 。 

网 络 地 址 和 掩 码 长 度 最 早 是 以 点 分 十 进 制 表示 法 指定 32bit 掩 码 的 做 法 加 以 表示 
的 。 这 种 表示 法 是 如 下 得 到 的 : 将 一 个 32bit 数 的 前 nbit 分 别 设置 为 1， 剩 下 的 32 - 
nbit 分 别 设置 为 0， 之 后 将 得 到 的 32bit 转换 为 点 分 十 进 制 。 

例如 ， 为 表示 一 个 19bit 长 的 网 络 掩 码 ， 可 做 如 下 步骤 操作 : 

1) 产生 32bit 数 ， 有 19 个 1 和 13 个 0: 11111111 11111111 11100000 00000000。 

2) 将 之 分 隔 成 字 节 : 11111111. 11111111. 11100000. 00000000。 

3) 转换 为 点 分 十 进 制 数 : 255. 255. 224. 0。 

例如 ， 采 用 这 个 19bit 掩 码 的 172. 16. 168. 0 网 络 表示 为 172. 16. 168. 0/255. 255. 224. 0。 

谢 天 谢 地 ， 这 种 方法 被 一 种 比较 简单 的 表示 法 所 替代 : 现在 带 有 网 络 地 址 的 掩 码 


O “ 子 网 划分 ”(subnet) 术语 在 本 章 上 下 文中 频繁 地 被 用 作 一 个 动词 ， 指 产生 一 个 子 网 的 动作 或 行为 。 
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表示 为 《网 络 地址 )/《 掩 码 长 度 )。 虽 然 这 种 表示 法 阅读 理解 起 来 比较 容易 ， 但 这 并 
不 能 使 我 们 省 掉 等 价 的 二 进 制 练习 ! 例如 ，B 类 网 络 172.16.0.0 将 被 表示 为 
172. 16.0.0/16, “/16” (AL 16) 指明 前 16bit， 在 这 种 情形 中 是 前 两 个 字 节 ， 表 示 
网 络 前 缀 。 

下 面 是 这 个 网 络 的 二 进 制 表示 : 


网 络 地 址 网 络 前 绥 本 地 地 址 
172. 16. 0. 0/16 10101100 00010000 00000000 00000000 


我 们 使 用 一 个 19bit 的 掩 码 ， 对 这 个 网 络 进行 子 网 划分 。 将 点 分 十 进 制 表示 扩展 
成 二 进 制 表示 : 








网 络 地址 





172. 16. 0. 0/19 
172. 16. 32. 0/19 
172. 16. 64. 0/19 
172. 16. 96. 0/19 
172. 16. 128. 0/19 
172. 16. 160. 0/19 
172. 16. 192. 0/19 
172. 16. 224. 0/19 


网 络 前 缀 





10101100 00010000 
10101100 00010000 
10101100 00010000 


10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 
10101100 00010000 





子 网 本 地 地 址 
00000000 00000000 
00100000 00000000 
01000000 00000000 
01100000 00000000 
10000000 00000000 
10100000 00000000 
11000000 00000000 
11100000 00000000 


注意 B 类 网 络 比 特 是 在 网 络 前 级 列 之 下 以 斜体 表示 的 ， 在 子 网 列 中 我 们 以 较 粗 
的 黑 斜 体 突出 显示 了 子 网 比特 。 使 用 这 3bit 的 子 网 掩 码 ， 我们 有 效 地 将 网 络 号 从 
16bit 扩展 到 19bit。 按 照 上 述 突出 显示 的 子 网 比特 ， 将 这 3bit 的 二 进 制 数 值 从 [000]， 
增加 到 [111],， 这 样 ， 我 们 就 可 使 用 这 3bit 的 子 网 掩 码 扩展 ， 得 到 2 =8 个 子 网 。 
之 后 ， 可 对 路 由 器 进行 路 由 配置 ， 使 用 前 19bit 识别 地 址 的 网 络 部 分 ， 方 法 是 对 服务 
相应 掩 码 长 度 子 网 的 路 由 器 进行 配置 ， 例 如 172. 16. 128. 0/19 ， 之 后 使 路 由 器 通过 路 
由 协议 传播 到 这 个 网 络 的 可 达 性 信息 。 称 为 可 变 长 度 子 网 掩 码 〈Variable Length Sub- 
net Masking, VLSM) 的 这 种 技术 正在 日 渐变 成 流行 的 常用 方法 ， 它 有 助 于 在 一 个 组 
织 机 构 内 部 将 尽 可 能 多 的 IP 地 址 容量 从 指派 的 地 址 空间 中 释放 出 来 。 

在 下 存在 的 前 一 二 十 年 中 ,两 层 网 络 / 子 网 模型 运行 得 很 好 。 但 是 ， 在 20 世纪 
90 年 代 早 期 , 对 IP 地 址 的 需求 持续 地 迅猛 增长 ， 有 越 来 越 多 的 公司 期 望 得 到 IP 地 址 
空间 ， 以 发 布 网 站 。 如 果 按 照 当 时 的 使 用 速率 ， 预 计 在 世纪 之 交 之 前 地 址 空间 就 会 消 
耗 完 ! 因特网 使 用 指导 组 织 ， 即 因特网 工程 任务 组 (ETF) 果断 地 实施 了 两 项 关键 
策略 来 扩展 IP 地 址 的 可 使 用 寿命 ， 即 支持 私有 地 址 空间 [ 终 版 RFC 1918 (7) ] 和 无 
类 域 间 路 由 [CIDR, RFC 1517-1519 (参考 文献 [4-6] ) ] 。 在 这 个 时 间 段 ，IETF 也 
开始 对 拥有 巨大 地 址 空间 的 IP 新 版 本 展开 工作 ， 即 IPv6 (IP 版 本 6) ， 对 此 我 们 将 在 
下 一 章 进 行 讨论 。 
1.2.3 私有 地 址 空间 

回顾 一 下 我 们 的 论断 ， 即 为 了 维持 地 址 唯一 性 和 路 由 完整 性 ， 在 一 个 组 织 机 构 内 
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部 的 每 个 “网 络 ”都 需要 有 一 个 唯一 的 网 络 号 或 前 级 。 随 着 越 来 越 多 的 组 织 机 构 连 
接 到 因特网 上 ， 因 特 网 成 为 黑客 们 渗透 组 织 机 构 网 络 的 一 个 极 可 能 被 利用 的 工具 。 许 
多 机 构 实施 防火 墙 ， 基于 有 关 IP 首部 值 的 特定 准则 来 过 滤 IP 报 文 ， 例如 源 地 址 或 目 
的 地 址 、UDP 或 TCP 以 及 其 他 信息 。 这 就 防护 了 “内 部 ”地 址 空间 和 “外 部 ”地 址 
空间 之 间 IP 地 址 空间 的 分 隔 ， 这 种 做 法 与 IETF 内 部 的 地 址 预 留 工作 非常 好 地 配合 
起 来 。 

IETF 发 布 了 多 个 RFC 修订 稿 ， 使 RFC 1918 成 为 一 个 标准 文档 ， 它 将 如 下 网 络 地 
址 集合 定义 为 “私有 的 ”。 

1) 10.0.0.0 ~10.255.255.255 (10/8 网 络 ) 一 一 等 价 于 1 个 A 类 。 

2) 172. 16. 0. 0 ~ 172. 31. 255. 255 (172. 16/12 网 络 ) 一 一 等 价 于 16 个 B 类 。 

3) 192. 168. 0.0 ~ 192. 168. 255.255 (192. 168/16 网 络 ) 一 一 等 价 于 1 个 BAR 
256 个 C 类 。 

“私有 的 ”这 个 术语 意味 着 这 些 地 址 在 因特网 上 是 不 可 路 由 的 。 但 是 ， 在 一 个 组 
织 机 构 内 部 ， 这 些 地 址 可 被 用 于 在 内 部 网 络 上 路 由 IP 流量 。 因 此 ,我 的 笔记 本 计算 
机 被 分 配 一 个 私有 IP 地址， 我 能 够 向 我 的 同事 们 发 送 电 子 邮 件 ， 他 们 也 有 私有 地 址 。 
本 质 上 而 言 ， 我 所 在 的 机 构 定义 了 一 个 私有 因特网 ， 有 时 该 网 络 被 称 为 一 个 内 联网 。 
位 于 我 所 在 机 构 内 部 的 路 由 器 可 配置 成 : 在 所 分 配 私有 IP 网 络 间 实 施 路 由 ， 在 这 些 
网 络 间 的 IP 流量 永 不 会 到 达 因 特 网 ” 。 

因为 我 正在 使 用 一 个 私有 IP 地址 ， 在 本 机 构 外 部 的 某 个 人 ， 他 在 防火 墙 之 外 ， 
是 不 能 直接 到 达 我 的 笔记 本 计算 机 的 。 处 于 外 部 网 络 的 任何 人 ， 他 发 送 在 IP 首部 
以 我 的 私有 地 址 作为 目的 地 址 的 报 文 ， 该 报 文 都 将 不 能 到 达 我 的 计算 机 ， 原 因 是 因 
特 网 路 由 器 不 会 路 由 这 些 报 文 。 但 是 ， 如 果 我 希望 在 外 部 通过 因特网 发 起 一 条 连接 ， 
目的 是 查验 我 在 股票 市 场 上 将 损失 多 少 钱 时 ， 该 怎么 办 呢 ? 对 于 要 求 接 入 到 因特网 的 
雇员 而 言 ， 普 遍 采 用 具有 网 络 地 址 转换 (NAT) 功能 的 防火 墙 来 将 一 个 企业 用 户 的 
私有 IP 地 址 转换 为 一 个 公开 的 或 可 路 由 的 IP 地 址 (该 地 址 是 从 企业 的 公开 地 址 空间 
取得 的 ) 。 

典型 的 NAT 设备 提供 地 址 池 功 能 ， 它 将 相对 少量 的 公开 可 路 由 GEMAK) IP 
地 址 放 在 地 址 池 中 ， 以 动态 方式 为 偶尔 访问 因特网 的 大 量 雇员 所 使 用 。NAT 设备 将 
Pi IP 连接 桥接 在 一 起 : 内 部 到 NAT 设备 的 通信 使 用 私有 地 址 空间 ， 而 NAT 设备 到 
因特网 的 通信 使 用 公开 IP 地 址 。NAT 设备 负责 跟踪 记录 内 部 雇员 地 址 到 外 部 使 用 的 
公开 地 址 之 间 的 映射 关系 。 

这 在 图 1-6 中 进行 了 形象 展示 ， 其 中 内 部 网 络 使 用 10/8 地 址 空间 ， 外 部 或 公开 
寻 址 则 使 用 192. 0. 2. 0/24 地 址 空间 。 依 据 该 图 ， 如 果 我 的 笔记 本 计算 机 的 IP 地 址 是 
10. 1. 0. 1， 则 我 可 通过 内 部 IP 网 络 与 使 用 卫 地 址 10. 2. 0. 2 的 我 的 同事 进行 通信 。 当 
我 访问 因特网 时 ,为 了 将 我 的 私有 地 址 10.1.0.1 映射 到 一 个 公开 地 址 (例如 





O ”从 技术 角度 来 说 ， 采 用 因特网 上 的 虚拟 专用 网 (VPN) 或 隧道 ， 带 有 私有 地 址 的 流量 可 穿越 因 特 
网 ， 但 在 两 端 接 人 因特网 的 隧道 端点 却 需 要 使 用 公开 IP 地 址 。 
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192. 0. 2. 108), M R KIR XE 
要 通过 防火 墙 /NAT 设备 进行 路 
由 。 在 NAT 设备 中 维护 映射 状 boca 
态 ， 它 修改 IP 首部 ， 执 行 的 操 
作 是 : 针对 送出 报 文 使 用 
192. 0. 2. 108 替换 10. 1.0.1， 针 
对 进入 报 文 ， 则 执行 反 向 替换 。 020 
从 寻 址 容量 需求 角度 来 看 ， 

我 所 在 机 构 仅 需要 足够 的 下 地 图 1-6 NAT 的 使 用 范例 : 将 私有 地 址 映射 到 公开 地 址 
址 来 支持 这 些 特 定 的 互联 网 到 

因特网 连接 以 及 因特网 可 达 主 机 (例如 Web 服务 器 或 电子 邮件 服务 器 ) 。 相 比 于 每 台 
内 部 路 由 器 和 外 部 路 由 器 、 服 务 器 和 主机 都 要 配置 地 址 的 IP 地址 空间 需求 而 言 ， 这 
个 数量 通常 要 小 得 多 。 因 为 企业 要 求 的 是 远 小 得 多 的 公开 地 址 空间 ， 所 以 私有 地 址 空 
间 的 实施 ， 就 极 大 地 降低 了 对 地 址 空间 容量 的 压力 。 






私有 地 
址 空间 


公开 地 
址 空间 






防火 墙 /NAT 设 备 
地 址 映射 





10.1.0.1 192.0.2.108 











1.3 无 类 别 寻 址 


延长 IPv4 寿命 上 且 投 入 实施 的 第 二 项 策略 是 CIDR 的 实施 ， 它 极 大 地 提高 了 网 络 分 
配 的 效率 。 可 变 长 度 子 网 掩 码 法 允许 在 非 字 节 边界 对 一 个 有 类 别 网 络 实施 子 网 划分 ， 
和 这 种 做 法 类 似 ，CIDR 支持 基础 地 址 块 〈 由 一 个 区 域 因特网 注册 机 构 (RIR) 或 因 
特 网 服务 提供 商 (ISP) 分 配 的 ) 的 网 络 前 级 变 化 的 情况 。 因 此 ， 如 四 个 C 类 (/24) 
组 成 的 一 个 连续 组 可 被 组 合 为 单一 (/22) 网 络 ， 分 配给 一 个 因特网 服务 提供 商 。 图 
1-7 对 此 进行 了 说 明 。 如 果 如 图 1-7 所 示 的 四 个 连续 块 172. 16. 168. 0/24 ~ 
172. 16. 171. 0/24 可 用 于 分 配 的 话 ， 那 么 它们 可 作为 单一 (/22) 网 络 进行 分 配 ， 即 
172. 16. 168. 0/22, 


122. 1616802 aeu uee uM 一 一 一 一 一 一 > 210=1024 个 本 地 地 址 


172.16.169.0/24 0001000 o] 10101083 oo 00 008 
172.16.170.0/24 0001000 o] 101070 unlooooeooo 


图 1-7 CIDR 分 配 范例 


注意 较 黑 阴 影 比特 表示 网 络 号 ， 即 前 22bit， 在 所 有 四 个 组 成 网 络 上 是 相同 的 。 
剩 下 的 10bit 表示 可 用 于 主机 分 配 的 本 地 地 址 空间 。 因 为 网 络 地 址 是 以 本 地 地 址 字段 
为 全 0 表示 的 ， 所 以 /22 网 络 是 以 起 始 的 比特 串 标记 的 ， 即 172. 16. 168. 0/22。 如 您 
所 看 到 的 ， 在 非 字 节 边 界 上 计算 网 络 地 址 所 要 求 的 十 进 制 到 二 进 制 算术 运算 方面 ， 
CIDR 是 非常 类 似 于 VLSM 的 。 在 非 字 节 边界 掩 码 之 外 ， 针 对 本 地 地 址 填充 0 的 附加 
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步骤 ， 有 可 能 引入 错误 。 另 外 ， 可 将 VLSM 应 用 到 CIDR 分 配 的 做 法 ， 又 进一步 增加 
了 出 现 错误 的 机 会 。 但 正如 通常 的 情况 一 样 ， 要 得 到 更 多 的 灵活 性 ， 就 要 付出 代价 。 
CIDR 和 VLSM 扫除 了 网 络 类 别 造 成 的 障碍 ， 从 而 提供 了 真正 灵活 的 网 络 分 配 和 子 网 
划分 。 


1.4 特殊 用 途 地 址 


除了 私有 空间 外 ， 针 对 特殊 目的 或 归档 (documentation) 的 需求 ， 已 经 预 留 了 某 
些 部 分 的 IPv4 地 址 空间 。 这 种 IPv4 地 址 分 配 包括 预 留 特殊 用 途 的 卫 地 址 ， 这 在 下 面 
汇总 给 出 ， 是 在 RFC 3330 呈 定义 的 ， 在 RFC 5735 中 作 了 更 新 (修改 ) 。 























地 址 空间 特殊 用 途 
0. 0. 0. 0/8 “这 个 (本 )” 网 络 ;0. 0. 0.0732 表示 在 这 个 (本 ) 网 络 上 的 这 台 主 机 
Se 私有 IP 地 址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 
路 由 的 
127. 0. 0. 0/8 被 指派 用 作 因特网 主机 回环 地 址 , 即 127. 0. 0. 1/32 
oes saan eve “ 链 路 本 地 ”地 址 块 ,用 于 IPv4 自动 配置 ,该 地 址 的 目的 是 在 单条 链 路 上 进 
行 通信 
eioi 私有 IP 地 址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 
路 由 的 
192. 0. 0. 0/24 保留 ,用 于 IETF 协议 指派 
192. 0. 2. 0/24 指派 为 “Test- Net-1”, 用 于 文档 和 样 例 代码 
192. 88. 99. 0/24 分 配 用 作 6to4 中 继任 意 播 地 址 (第 17 章 对 此 进行 了 详细 讨论 ) 
ao ROE 私有 IP 地 址 空间 ,依据 RFC 1918 ,该 空间 中 的 地 址 在 公开 因特网 上 是 不 可 
路 由 的 
198. 18. 0. 0/15 分 配 用 于 网 络 互 连 设备 的 基准 测试 
198. 51. 100. 0/24 指派 为 “Test- Net-2”, 用 于 文档 和 样 例 代 码 
203. 0. 113. 0/24 指派 为 “Test- Net-3”, 用 于 文档 和 样 例 代 码 













分 配 用 于 IPv4 组 播 地 址 指派 (以 前 的 D 类 地 址 空间 ) 
保留 ,用 于 未 来 用 途 (以 前 的 类 地 址 空间 ) 
在 一 条 链 路 上 的 受 限 广播 


224. 0. 0.0/4 
240. 0. 0.0/4 
255. 255. 255. 255/32 
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2.1 引言 


在 20 世纪 90 年 代 早 期 ， 因 特 网 被 疯狂 地 用 作 最 流行 的 全 球 通信 工具 ， 使 世界 范 
围 内 的 组 织 机 构 都 涌 向 因特网 注册 机 构 ， 请 求 IP 地 址 空间 。 卫 地 址 空间 需求 上 的 这 
次 冲击 波 ， 促 使 仿照 了 IETF， 因 特 网 工程 和 标准 组 织 定 义 了 新 版 本 的 因特网 协议 ， 
该 新 版 本 协议 将 提供 更 多 的 寻 址 容量 ， 可 满足 当时 以 及 可 预期 未 来 的 地 址 需求 。 如 第 
1 章 所 讨论 的 ， 诸 如 CIDR 和 私有 地 址 空间 等 技术 的 采用 ， 有 助 于 消除 公开 地 址 空间 
请 求 的 洪流 ; 但 是 ， 可 预料 这 些 措施 仅 延 长 了 IPv4 地 址 空间 可 使 用 的 时 间 ， 即 延长 
10 年 左右 。 

IPv4 地 址 空间 的 可 用 量 持续 减少 〈 即 剩 下 的 地 址 越 来 越 少 ) ， 每 个 区 域 因特网 注 
册 机 构 (RIR) 不 厌 其 烦 地 向 因特网 共同 体 发 出 通告 ， 即 可 使 用 的 IPv4 空间 是 有 限 
的 ， 并 将 在 “ 数 年 ”内 被 用 光 。RIR 负责 向 因特网 服务 提供 商 分 配 IP 地 址 ， 接 下 来 
因特网 服务 提供 商 向 企业 、 服 务 提供 商 和 任何 需要 IP 地 址 空间 的 组 织 机 构 分 配 空 间 。 
最 终 ， 地 址 耗 尽 的 后 果 将 影响 需要 公开 IP 地 址 空间 的 机 构 。 各 位 看 到 ， 微 软 的 
Vista™ 、Win7 和 Server2008 等 产品 都 默认 地 支持 IPv6。 随 着 采用 Vista 或 Win7 ，IPv6 
也 许 比 人 们 想象 得 要 更 早 到 来 ， 不 管 你 喜欢 与 否 ， 它 都 将 到 来 ! 


IP 首部 
图 2-1 首部 和 报 文 概念 中 的 卫 通用 部 分 


IPv6 (因特网 协议 版 本 O°) 是 从 IPv4 (因特网 协议 版 本 4) 演化 发 展 而 来 的 ， 
但 本 质 上 是 与 IPv4 不 兼容 的 。 第 15 章 描述 了 (IPv6 与 IPv4 的 ) 几 项 迁移 和 共存 技 
术 。IPv6 的 主要 目标 是 ， 基 于 IPv4 过 去 20 年 的 经 验 ， 从 根本 上 重新 设计 IPv4。 在 过 
去 数 年 中 ， 添 加 到 IPv4 协议 族 的 真实 应 用 支持 能 力 ， 从 IPv6 设计 一 开始 就 进行 了 考 
虑 。 这 包括 对 安全 、 组 播 、 移 动 性 和 自动 配置 的 支持 。 

从 IPv4 演化 发 展 到 IPv6 过 程 中 ， 最 引 人 注 目的 差异 是 对 IP 地 址 字段 长 度 的 极 大 
扩展 。IPv4 使 用 一 个 32bit 的 IP 地 址 字段 ，IPv6 则 使 用 一 个 128bit 的 IP 地 址 字段 。 
一 个 32bit 地 址 字段 提供 最 多 2” 个 地 址 或 和 42 亿 个 地 址 。 一 个 128bit 地 址 字段 提供 2 
个 地 址 或 340 万 亿 万 亿 万 亿 (340 x 10) 个 地 址 或 340undecillion (3.410%) 个 地 


O IPv5 (正版 本 5) 从 来 就 没有 作为 IP 的 一 个 官方 版 本 加 以 实施 。 在 四 首部 中 的 版 本 号 “5” 被 指 
派 为 表示 携带 所 谓 ST (因特网 流 协 议 ) 的 一 个 试验 实时 流 协议 的 报 文 。 如 果 要 更 多 了 解 ST， 请 
参见 RFC 1819 (169)。 


O ”我们 使 用 美国 方式 对 undecillion 的 定义 即 10%*， 而 不 是 英国 方式 的 10% 。 
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址 。 为 了 给 这 个 极其 庞大 的 数字 提供 形象 描述 ， 考 虑 如 下 这 个 数量 的 了 P 地 址 。 

1) 假定 地 球 上 有 65 亿 个 人 ， 则 每 个 人 平均 有 5 x10 个 IP 地址 。 

2) 地 球 表面 平均 每 平方 英寸 有 4.3 x10 个 耳 地 址 。 

3) 到 达 距 离 我 们 250 万 光 年 的 最 近 星系 一 一 仙女 座 的 距离 上 平均 每 纳米 有 约 
1400 万 个 IP 地 址 。 

就 像 IPv4 一 样 ， 由 于 子 网 分 配 的 低 效 ， 并 不 是 每 个 地 址 都 一 定 会 是 有 用 的 ， 但 
考虑 浪费 数 个 地 址 也 不 会 具有 太 大 影响 。 除 了 IP 地 址 的 这 个 似乎 无 限 数量 外 ， 在 
IPv6 和 IPv4 之 间 存 在 许多 相似 点 。 例 如 ， 从 基本 层面 看 ， 就 报 文 首部 和 内 容 的 概念 
( 见 图 2-1) 而 言 ， 和 了 Pv4 一 样 ,，“IP 报 文 ”这 个 概念 也 同样 适用 于 IPv6， 其 他 的 基 
本 概念 如 协议 分 层 、 报 文 路 由 以 及 CDR 分 配 等 也 是 如 此 。 在 本 章 中 ,我 们 将 焦点 放 
在 所 定义 的 IPv6 地 址 的 种 类 方面 ， 在 下 一 章 讨论 IPv6 子 网 划分 和 分 配 技术 。 


2.1.1 IPv6 关键 功能 特征 


作为 IPv4 的 演化 发 展 结果 ，IETF 尝试 开发 I Pv6。 从 IPv4 到 IPv6 迁移 过 程 中 的 演 
化 发 展 策略 的 目的 是 ,使 IPv6 能 够 提供 许多 新 的 功能 特征 ， 而 同时 构建 于 使 IPv4 如 
此 成 功 的 基础 概念 之 上 。IPv6 的 主要 功能 特征 包括 如 下 内 容 。 

1) 扩展 的 寻 址 方式 。 为 了 改善 扩展 性 ，128bit 层次 化 地 指派 带 有 地 址 范围 (本 
地 链 路 范围 以 及 全 局 范围 ) 。 

2) 路 由 。 严 格 层 次 化 的 路 由 ， 支 持 路 由 汇聚 。 

3) 性 能 。 简 单 的 〈 不 可 靠 的 、 无 连接 的 ) 数据 报 文 服务 。 

4) 扩展 能 力 。 新 的 灵活 的 扩展 首部 ， 为 新 的 首部 类 型 和 更 加 高 效 的 路 由 提供 了 
固有 的 扩展 能 力 。 

5) 多 媒体 。 流 标签 首部 字段 有 利于 实现 服务 质量 (QoS) 支持 。 

6) HR. FR A, HELER, 

7) 安全 。 固 有 的 认证 鉴 权 和 加 密 。 

8) 自动 配置 。IP 设备 可 执行 无 状态 地 址 自 配 置 和 有 状态 地 址 自 配置 。 

9) 移动 能 力 。 提 供 移 动 IPv6 支持 。 


2.1.2 IPv6 首部 


IPv6 首部 结构 布局 如 图 2-2 所 示 。 虽 然 源 IP 地 址 字段 和 目的 地 IP 地 址 字段 的 长 
度 都 四 倍 于 IPv4 地 址 字段 长 度 , 但 总 的 了 P 首部 长 度 仅 是 IPv4 首部 长 度 的 两 倍 。IPv6 
首部 中 的 各 字段 如 图 2-2 所 示 。 

1) 版 本 (Version)。 因 特 网 协议 版 本 ， 在 这 种 情况 下 是 6。 

2) 流量 类 别 (Traffic Class) 。 这 个 字段 替换 了 IPv4 的 服务 类 型 /DS 首部 字段 ， 
为 请 求 路 由 处 理 而 指明 流量 的 类 型 或 优先 级 。 

3) 流标 签 (Flow Label) 。 标 识 这 个 报 文 所 属 的 一 个 源 和 目的 地 之 间 流 量 “ 流 ” 
(由 源 设 定 )。 这 样 做 的 意图 是 ， 支 持 一 个 给 定 通信 会 话 内 部 (例如 在 一 个 实时 传输 
以 及 一 个 尽力 而 为 数据 传输 内 部 的 那些 会 话 ) 针对 报 文 的 高 效 和 一 致 的 路 由 处 理 。 
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4) 净 荷 长 度 (Payload 
Length) 。 指 明 IPv6 4 fay AYE 
Ee BSE Pe Lee as 净 荷 长 度 一 首部 | 跳 限制 
的 报 文 部 分 ， 是 以 字 节 为 单 | Sbi 
位 表示 的 。 如 果 包 括 扩展 首 
部 的 话 ， 那 么 扩展 首部 被 看 wi 
做 净 荷 的 组 成 部 分 ， 并 被 计 128bit 
算 在 这 个 长 度 参 数 之 内 。 

5) 下 一 首部 (Next 
Header) 。 这 个 字段 指明 这 个 
IP 首部 后 跟 的 首部 类 型 。 可 目的 地 IP 地 址 
能 是 一 个 高 层 协议 首部 ( 例 Lae 
如 TCP, ICMPv6 (因特网 控 
制 报 文 协议 版 本 6) 等 ) 或 
一 个 扩展 首部 。 仪 当 源 路 由 、 
分 段 、 选 项 以 及 与 该 报 文 相关 的 其 他 参数 为 必要 情况 下 ， 扩 展 首 部 概念 才 明确 指定 ， 
而 不 是 像 在 IPv4 中 一 样 作为 所 有 报 文 上 的 额外 负担 。 

6) 跳 限制 (Hop Limit)。 类 似 于 IPv4 TTL (生存 时 间 ) 字段 ， 这 个 字段 指定 在 
该 报 文 被 丢弃 之 前 可 能 穿越 的 跳 数 。 在 转发 该 报 文 时 ， 每 个 路 由 器 将 这 个 首部 字段 的 
数值 减 1。 

7) W IP 地址 (Source IP Address) 。 这 条 报 文 发 送 者 的 IPv6 地 址 。 

8) 目的 地 IP 地 址 (Destination IP Address) 。 这 条 报 文 预期 接收 者 (可 能 是 多 个 
接收 者 ) 的 IPv6 地 址 。 


2.1.3 IPv6 寻 址 9 


定义 了 三 种 类 型 的 IPv6 地 址 。 和 IPv4 中 的 情况 一 样 ， 这 些 地 址 是 应 用 到 接口 的 ， 
而 不 是 应 用 到 节点 的 。 因 此 ， 带 有 两 个 接口 的 一 台 打印 机 将 可 由 它 的 任 一 接口 寻 址 。 
可 通过 任 一 接口 到 达 该 打印 机 ,但 该 打印 机 节点 本 身 并 没有 一 个 卫 地 址 。 当 然 ， 对 
于 尝试 访问 一 个 节点 的 终端 用 户 而 言 ，DNS 通过 使 一 个 主机 名 (hostname) 映射 到 一 
个 或 多 个 接口 地 址 ， 就 能 够 隐藏 这 个 微妙 差异 。 

1) 单 播 单一 接口 的 IP 地址 。 这 类 似 于 一 个 IPv4 主机 地 址 的 常见 解释 ( 非 组 
播 / 非 广播 的 /32 IPv4 地 址 ) 。 

2) 任意 播 。 用 于 一 组 接口 (通常 属于 不 同 节点 ) 的 一 个 IP 地址 ， 任 何 一 个 接 
口 都 是 报 文 的 预期 接收 者 。 目 的 地 为 一 个 任意 播 地 址 的 一 条 报 文 ， 被 路 由 到 配置 了 该 





图 2-2 IPv6 首部 010] 





O ”本章 的 介绍 性 章节 主要 参考 了 文献 [11] 第 2 章 的 资料 。 
O 许多 路 由 器 和 服务 器 产品 ， 通 过 一 个 软件 回环 地 址 ， 支 持 一 个 “设备 (Box) 地 址 ”的 概念 。 不 
要 与 127.0.0.1 或 :; 1 回环 地 址 相 混淆 ， 这 个 回环 地 址 支持 到 任 一 设备 接口 的 可 达 性 。 
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组 播 地 址 的 最 近 距 离 的 接口 (依据 路 由 表 度 量 指标 衡量 ) 。 这 里 的 理念 是 ， 发 送 者 不 
必 关 心 那 台 特 定 主机 或 接口 接收 该 报 文 ， 但 是 确实 是 共享 该 任意 播 地 址 的 那些 主机 或 
接口 接收 了 这 条 报 文 。 任 意 播 地 址 是 从 单 播 地 址 分 配 的 相同 地 址 空间 中 分 配 的 。 因 
此 ， 人 们 不 能 从 表面 上 在 一 个 单 播 地 址 和 一 个 任意 播 地 址 之 间 做 出 区 分 。 在 提供 类 似 
的 到 预期 所 使 用 服务 (例如 针对 DNS 服务 器 ， 使 用 一 个 共享 的 单 播 IPv4 地 址 ) 的 最 
近 路 由 方面 ， 任 意 播 在 IPv4 网 络 中 最 近 产 生 了 争议 。 在 简化 客户 端 配置 (不 管 客户 
端 连接 到 所 在 网 络 的 哪 一 部 分 ) ， 使 客户 端 总 是 使 用 相同 [任意 播 ] IP 地 址 查询 一 台 
DNS 服务 器 方面 ， 这 种 做 法 提供 了 便利 。 在 第 11 章 中 我 们 将 讨论 使 用 任意 播 地 址 的 
DNS 部 署 。 

3) 组 播 。 一 组 接口 (典型 情况 下 属于 不 同 节点 ) 的 一 个 人 地 址 ， 所 有 节点 都 
是 报 文 的 预期 接收 者 。 这 当然 类 似 于 IPv4 组 播 。 不 像 IPv4 的 是 ，IPv6 不 支持 广播 。 
相对 而 言 ， 在 IPv4 中 使 用 广播 的 应 用 ， 例 如 DHCP， 在 IPv6 中 使 用 组 播 到 一 个 周知 
( 即 预定 义 的 ) DHCP 组 播 组 地 址 的 方法 。 

一 个 设备 接口 可 能 具有 任何 地 址 类 型 或 所 有 地 址 类 型 的 多 个 卫 地 址 。IPv6 也 定 
义 了 IP 地 址 的 一 个 链 路 本 地 范围 ,来 唯一 地 标识 连接 到 一 条 特定 链 路 (例如 一 个 
LAN (局 域 网 ) ) 的 各 个 接口 。 例 如 ， 可 在 每 个 站 点 或 每 个 机 构 范 围 内 ， 从 管理 角度 
定义 附加 的 地 址 范围 ， 我 们 将 在 本 章 后 面 讨论 这 一 点 。 


2.1.4 地 址 表示 法 


回顾 一 下 ，IPv4 地 址 是 以 点 分 十 进 制 格式 表示 的 ， 其 中 32bit 的 地 址 被 分 成 四 个 
8bit 段 ， 每 个 段 转 换 成 十 进 制 数 ， 之 后 以 “点 ”分 隔 。 如 果 你 认为 记忆 四 个 十 进 制 数 
的 一 个 串 是 困难 的 ， 那 么 IPv6 将 会 使 你 有 点 音 不 堪 言 。IPv6 地 址 不 是 以 点 分 十 进 制 
.表示 法 表述 的 ， 它 们 是 使 用 一 个 冒号 分 隔 的 十 六 进 制 格式 加 以 表示 的 。 首 先 从 比特 级 
别 开 始 分 ，128bit IPv6 地 址 被 分 成 八 个 16bit 段 ， 每 个 段 被 转换 为 十 六 进 制 ， 之 后 以 
冒号 分 隔 。 每 个 十 六 进 制 “数字 ”表示 4bit， 转 换 规则 依据 为 ， 每 个 十 六 进 制 数 字 
(0 ~F) 到 其 4bit 二 进 制 数值 的 映射 如 下 所 示 。 每 个 十 六 进 制 对 应 于 具有 如 下 可 能 数 
值 的 4bit。 

0=0000 4=0100 8=1000 C=1100 
1=0001 5=0101 9=1001 D=1101 
2=0010 6=0110 A=1010 E=1110 
3=0011 7=0111 B=1011 F=1111 

在 将 一 个 128bit IPv6 地 址 从 二 进 制 转 换 为 十 六 进 制 之 后 ， 我 们 将 每 四 个 十 六 进 制 
数字 归 为 一 组 ， 并 以 冒号 将 它们 分 隔 开 。 我 们 使 用 名 词 “ 尼 伯 ” (nibble) 来 代表 四 
个 十 六 进 制 数字 或 16bit 的 分 组 ; 因此 ， 我 们 得 到 八 个 由 冒号 分 隔 的 尼 伯 数值 ， 产 生 
看 起 来 如 图 2-3 所 示 的 一 个 IPv6 地 址 。 

在 IPv4 中 ， 要 处 理 四 个 十 进 制 数值 ， 相 互 之 间 以 点 分 隔 ， 每 个 数值 在 0 ~ 255 之 


译 者 注 





© 尼 伯 (nibble)， 本 书 中 和 常用 的 含义 (通常 指 4 个 二 进 制 数 ) 不 同 。 
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sr 1 ol o 00 
2001:0DB8:5F62:AB41:0000:0000:0000:0801 
图 2-3 IPv6 地 址 : 二 进 制 转换 为 十 六 进 制 [1 


间 ， 与 此 不 同 的 是 ，IPv6 地 址 由 多 达 八 个 十 六 进 制 数值 组 成 ， 由 冒号 分 隔 ， 每 个 数值 
在 0 ~FFFF 之 间 。 当 书写 IPv6 地 址 时 ， 有 两 种 可 接受 的 缩写 形式 。 第 一 种 形式 是 ， 
在 一 个 尼 伯 分 段 内 部 ， 即 冒号 之 间 的 前 导 零 可 被 去 掉 。 因 此 ， 上 述 地 址 可 缩写 为 : 
2001: DB8: 5F62; AB41; 0; 0; 0: 801 
缩写 的 第 二 种 形式 是 ， 使 用 双 冒 号 表示 一 个 或 多 个 连续 的 零 尼 伯 组 。 使 用 这 种 缩 
写 形式 ， 上 述 地 址 可 进一步 缩写 为 : 
2001: DB8: 5F62: AB41 :: 801 
这 难道 不 好 得 多 了 吗 ? 注意 在 一 个 地 址 表示 内 部 仅 可 使 用 一 个 双 冒 号 。 因 为 在 地 
址 中 总 是 存在 八 个 尼 伯 分 段 ， 对 于 一 个 双 冒 号 表示 法 ， 人 们 可 容易 地 计算 它们 中 有 多 
少 个 为 零 ; 但 是 ， 对 于 一 个 以 上 的 双 冒 号 ， 就 将 存在 二 义 性 问题 。 
考虑 地 址 2001; DB8: 0: 56FA: 0: 0: 0: BS, 我们 可 将 这 个 地 址 缩写 为 : 
2001: DB8 :: 56FA: 0: 0: 0; B5 或 2001: DB8: 0: 56FA :: B5 
我 们 可 容易 地 计算 出 ， 在 第 一 种 情形 中 ， 双 冒号 表示 一 个 尼 伯 (总 的 8 个 尼 伯 减 
去 如 图 2-3 所 示 的 7 个 尼 伯 ) ， 在 第 二 种 表示 法 中 ， 双 冒号 表示 3 个 尼 伯 (总 的 8 个 
尼 伯 减 去 如 图 2-3 所 示 的 5 个 尼 伯 )。 如 果 我 们 尝试 将 这 个 地 址 缩写 为 2001: DB8 :: 
56FA:: B5， 则 我 们 不 能 无 二 义 性 地 对 此 解码 ， 因 为 它 可 能 表示 如 下 地 址 中 的 任何 一 
个 地 址 : 
2001:DB8:0:56FA:0:0:0:B5 
2001:DB8:0:0:56FA:0:0:B5 
2001:DB8:0:0:0:56FA:0:B5 
因此 ， 要 求 缩写 规则 总 是 成 立 的 ， 即 在 一 个 IPv6 地 址 中 仅 可 出 现 一 个 双 冒 号 。 


2.1.5 地 址 结构 
如 图 2-4 所 示 ， 将 IPv6 地 址 分 成 三 个 字段 。 






全 局 路 由 前 级 于 网 ID 
{nbit) (mbit) 


图 2-4 IPv6 地 址 结构 [1 


全 局 路 由 前 缀 与 一 个 IPv4 网 络 号 近似 ， 由 路 由 器 用 来 将 报 文 转发 到 本 地 服务 于 
对 应 该 前 缀 的 网 络 的 路 由 器 (可 能 是 多 台 路 由 器 )。 例 如 ， 一 个 IS 的 一 个 客户 被 指 
派 一 个 /48 长 度 的 全 局 路 由 前 级， 则 目的 地 为 这 个 客户 的 所 有 报 文 将 包含 对 应 的 全 局 
路 由 前 级 值 。 在 这 种 情形 中 ,依据 图 2-4，n =48。 当 表示 一 个 网 络 时 ， 写 出 全 局 路 
由 前 级 ， 后跟 斜 杠 ， 之 后 是 网 络 规模 大 小 ， 称 为 前 缀 长 度 。 假 定 我 们 的 一 个 范例 IPv6 
地 址 2001; DB8: 5F62; AB41:: 801， 存 在 于 一 个 /48 的 全 局 路 由 前 缀 内 部 ， 则 这 个 
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前 级 地 址 将 被 表示 为 2001: DB8: 5F62:: /48。 和 IPv4 的 情形 一 样 ， 除 前 级 长 度 外 
带 有 和 零 值 比特 (在 这 种 情形 下 ， 是 bit49 ~ 128) 的 网 络 地 址 被 表示 为 终结 的 双 冒 号 。 

子 网 ID 提供 了 在 组 织 机 构 内 部 表示 特定 子 网 的 一 种 方式 。 我 们 的 拥有 一 个 /48 
前 级 长度 的 ISP 客户 ， 选 择 使 用 16bit 表示 子 网 ID ， 这 样 就 提供 了 2" 或 65534 个 子 网 。 
在 这 种 情形 中 ,依据 图 2-4，m =16。 这 样 下 来 ， 留 给 接口 ID 的 就 是 〈128-48-16 ) bit = 
64bit。 接 口 ID 表示 报 文 的 源 或 预期 接收 者 的 接口 地 址 。 这 就 和 我 们 后 面 将 讨论 的 一 样 ， 
迄今 为 止 ， 已 分 配 使 用 的 全 局 单 播 地 址 空间 要 求 一 个 64bit 的 接口 ID 字段。 

在 将 一 个 网 络 ID (由 全 局 路 由 前 缀 和 子 网 ID 组 成 ) 与 一 个 接口 ID 分 隔 (区 分 
F) 过 程 中 ， 这 种 IPv6 地 址 结构 独特 之 处 之 一 是 ， 一 个 设备 可 保留 相同 的 接口 ID， 
而 不 用 管 它 连 接 到 了 哪个 网 络 ， 有 效 地 将 你 的 接口 I D (“你 是 谁 ”") 和 你 的 网 络 前 绥 
(“你 在 哪里 ”) 区 分 开 来 。 正 如 我 们 将 看 到 的 ， 这 种 做 法 有 利于 实现 地 址 自动 配置 ， 
虽然 它 没有 考虑 隐私 问题 。 但 我 们 稍稍 有 点 超前 了 ( 即 过 早 地 讲 了 一 些 内 容 )， 所 以 
让 我 们 跳 转 回 到 宏观 层次 ， 并 考虑 迄今 为 止 由 因特网 地 址 管理 权威 (因特网 编号 管 
理 局 (IANA) ) 所 分 配 的 IPv6 地 址 空间 方面 。 


2.2 IPv6 地 址 分 配 


在 表 2-1 中 以 暗 灰色 突出 显示 迄今 为 止 由 IANA 分 配 的 地 址 空间 ， 并 在 接 下 来 的 
文字 中 加 以 讨论 。 这 些 地 址 分 配 代 表 的 地 址 空间 要 略 小 于 总 可 用 IPv6 地 址 空间 
的 14% 。 

表 2-1 IPv6 地 址 分 配 53] 
形式 | 相对 尺 

















由 IETF 保留 : “未 指派 地 址 ” 
(::) 和 回环 地 址 (::1) 就 是 从 这 个 
地 址 块 中 指派 的 


























| 全 局 单 播 地 址 
由 IETF 保留 
由 IETF 保留 
由 IETF 保留 
由 IETF 保留 
由 IETF 保留 
1110 1/16 由 IETF 保留 
1111 0 1/32 由 IETF 保留 
1111 10 1/64 由 IETF 保留 
1111 1110 0 1/512 由 IETF 保留 
FES0::/10 | wumow | 
FEC0 : :/10 1111 1110 11 1/1024 由 IETF 保留 
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2. 2.1 ::/3 一 一 保留 地 址 


前 级 为 [000], 的 地 址 空间 目前 由 IETF 保留 。 在 这 个 地 址 空间 内 部 且 具 有 独特 
含义 的 地 址 包括 非 指 定 (::) 地 址 和 回环 (::1) 地 址 。IPv6 寻 址 架构 规范 RFC 
42917 要 求 ， 除 了 在 这 个 地 址 空间 内 部 的 那些 地 址 (以 :: /3 ( [000], 开始 ) ) 外 ， 
所 有 单 播 IPv6 地 址 都 必须 使 用 一 个 64bit 的 接口 D 字段 ， 且 这 个 接口 D 字段 必须 利 
用 修订 的 EUI-64° 算 法 ,将 接口 的 层 2 地 址 或 硬件 地 址 映射 到 一 个 接口 也。 因此 ， 
在 :: /3 地 址 空间 内 部 的 地 址 ， 可 具有 任意 长 度 的 接口 ID 字段 ， 这 点 不 像 除 此 之 外 
其 他 部 分 的 IPv6 单 播 地 址 空间 ， 在 其 他 部 分 的 地 址 空间 中 必须 利用 一 个 64bit 的 接口 
ID 字段 。 


2. 2.2 2000:: /3 一 一 全 局 单 播 地 址 空间 


迄今 为 止 被 分 配 的 全 局 单 播 地 址 空间 2000::/3 表示 了 2 BR 4.25 x10 4 IP Hh 
址 。 考 虑 到 在 IPv6 地 址 结构 [RFC 4291] 中 定义 的 64bit 接口 ID 要 求 ， 全 局 单 播 
地 址 格式 形式 化 地 定义 为 RFC 3587™, WE 2-5 所 示 。 

前 3bit 是 [001],， 指 明 是 全 局 单 播 地 址 空间 。 接 下 来 的 45bit 构成 全 局 路 由 前 
缀 ， 接 着 分 别 是 16bit 子 网 ID 和 64bit 的 接口 ID。 当前 的 指导 准则 呼吁 各 ISP 将 /48 型 
网 络 分 配给 他 们 的 客户 ， 如 此 就 将 全 局 路 由 前 缀 分 配 到 了 客户 手中 。 那 么 每 个 客户 ， 
通过 在 剩 下 的 16bit FA ID 字段 内 部 为 每 个 子 网 唯一 分 配 指派 值 的 方法 ， 可 定义 多 达 
65534 个 子 网 。 


0 23 a ia a 






全 局 路 由 前 级 了 网 ID 


oO! (n bit) (l-n bit) 


图 2-5 全 局 单 播 地 址 格式 04 


2.2.3 FC00:: /7 一 一 唯一 本 地 地 址 空间 


在 RFC 4193'“ 中 定义 的 本 地 唯一 地 址 (CULA) 空间 ， 其 目的 是 通常 在 一 个 站 点 
内 部 提供 本 地 可 分 配 和 可 路 由 的 IP 地 址 。RFC 4193 陈述 说 “期 望 这 些 地 址 在 全 球 因 
特 网 上 是 不 可 路 由 的 ”。 因 此 虽然 不 像 RFC 1918 在 定义 私有 IPv4 地 址 空间 时 那么 严 
格 , 但 本 地 唯一 地 址 空间 本 质 上 仍然 是 私有 地 址 空间 ， 提 供 “ 本 地 ” (局 部 ) 寻 址 ， 
它 以 较 高 概率 保持 仍然 是 全 球 唯一 的 。 本 地 唯一 地 址 空间 的 格式 如 图 2-6 所 示 。 


0 678 47 48 Es mm mm er fh 
全 局 [ID 网 ID | as eT m nen 





(40 bit) (16 bit} 


图 2-6 = His RE — ia 2 E AY A RO 


© EUI-64 指 由 IEEE 定义 的 64bit 扩展 独特 标识 符 。 我 们 将 在 本 章 稍 后 部 分 讲解 修订 的 EUI-64 算法 。 
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前 7bit， 即 比特 0~6, 是 [1111 110], = FC00:: /7， 识 别 该 地 址 是 一 个 本 地 唯 
一 地 址 。 第 8 个 bt， 即 “L”bit， 如 果 全 局 ID 是 本 地 指派 分 配 的 ， 则 设置 为 “1”; 
将 “L”bit 设置 为 “0” 的 含义 当前 还 未 确定 ， 但 因特网 任务 工程 组 (ETF) 已 经 讨 
论 过 ， 拟 将 这 个 设置 用 于 全 局 本 地 唯一 地 址 ， 它 是 通过 因特网 地 址 注册 机 构 分 配 的 。 
40bit 长 的 全 局 ID 字段 的 目的 是 表示 一 个 全 局 唯一 前 缀 ， 并 必须 使 用 一 个 伪 随 机 算法 
(不 是 顺序 方法 ) 进行 分 配 。 无 论 在 哪 种 情形 中 ， 得 到 的 /48 前 级 构成 了 组 织 机 构 的 
ULA 地 址 空间 ， 从 该 空间 中 可 分 配 用 于 内 部 使 用 的 子 网 。 子 网 ID 是 一 个 16bit 的 字 
段 ， 用 来 识别 每 个 子 网 ， 而 接口 ID 是 一 个 64bit 字段 。 

在 RFC 4193 中 描述 了 得 到 一 个 全 局 唯一 ID 的 一 种 范例 性 的 伪 随 机 方法 ， 它 建议 
以 如 下 方式 计算 一 个 散 列 数值 。 

1) 一 台 网 络 时 间 协 议 (NTP) 服务 器 以 64bit NTP 格式 报告 的 当前 时 间 。 

2) 与 实施 该 算法 主机 上 一 个 接口 的 一 个 EUI-64 接口 ID 拼接 在 一 起 。 

之 后 将 散 列 运算 结果 的 最 低 (最 右边 的 ) 40bit 构成 全 局 ID. 


2.2.4 FE80::/10 一 一 链 路 本 地 地 址 空间 


链 路 本 地 地 址 仅 用 在 一 条 特定 链 路 上 ， 例 如 一 条 以 太 网 链 路 ; 带 有 链 路 本 地 目的 
地 址 的 报 文 是 不 可 路 由 的 。 即 ， 具 有 链 路 本 地 地 址 的 报 文 将 不 能 到 达 对 应 链 路 外 面 
( 即 范围 为 对 应 链 路 ) 。 这 些 地 址 用 于 地 址 自动 配置 和 邻居 发 现 ， 这 将 在 后 面 讨论 。 
链 路 本 地 地 址 空间 的 格式 如 图 2-7 所 示 。 


0 910 






0 
Ta (54 bit) 





图 2-7 链 路 本 地 地 址 空间 的 格式 5] 
FE80;: /10 链 路 本 地 前 缀 后 跟 54 MẸ bit 和 64bit 的 接口 ID。 
2.2.5 FF00.: : /8 一 组 播 地 址 空间 


组 播 地 址 识别 典型 情况 下 在 不 同 节点 上 的 一 组 接口 。 可 将 组 播 地 址 想象 为 一 个 范 
围 受 限 的 广播 。 所 有 组 播 组 成 员 都 使 用 相同 的 组 ID ， 因 此 所 有 成 员 将 接受 目的 地 为 
组 播 组 的 报 文 。 一 个 接口 可 能 有 多 个 组 播 地 址 ; 即 ， 它 可 能 属于 多 个 组 播 组 。IPv6 组 
播 地 址 空间 的 格式 如 图 2-8 所 示 。 
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图 2-8 组 播 地 址 空间 的 格式 02] 
前 缀 FF00: : /8 标识 一 个 组 播 地 址 。 下 一 个 字段 是 一 个 称 为 “标志 ” (flags) 的 





全 ”通过 在 要 被 散 列 的 数据 和 一 个 随机 数值 上 执行 一 个 数学 运算 ， 得 到 一 个 散 列 数值 。 在 这 种 情形 
中 ， 要 求 使 用 一 个 特定 的 数学 算法 ， 即 安全 散 列 算法 1 或 SHA-1。 
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4bit 字段 。 A a 字段 的 数值 。 范 围 (scope) (也 许 被 带 有 感情 
色彩 地 称 作 “scop”( 吟 游 诗人 )) 字段 表明 组 播 范 围 的 广度 ， 无 论 是 每 节点 、 链 路 、 
全 局 还 是 其 他 范围 数值 ， 都 将 在 下 面 定 义 。 幸 运 的 是 ， 标 志和 范围 字段 的 数值 均 可 容 
易 地 通过 分 别 查看 地 址 内 部 的 第 3 个 十 六 进 制 和 第 4 个 十 六 进 制 数字 做 出 区 分 ， 我 们 
将 在 稍 后 总 结 一 下 。 

1. 标志 (flags) 

标志 字段 由 4bit 组 成 ， 我 们 将 从 右 到 左 加 以 讨论 (12). 





(1) Tbit 指明 组 播 地 址 本 质 上 是 临时 用 途 的 ， 还 是 由 IANA 分 配 的 一 个 周知 地 址 。 
Thit 定义 如 下 。 

1) 了 =0。 这 是 一 个 IANA 分 配 的 周知 组 播 地 址 ( 见 图 2-9)。 在 这 种 情形 中 ， 这 
个 112bit 的 组 播 地 址 是 一 个 112bit 的 组 ID 字段 。 
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图 2-9 带 有 标志 了 = 0 的 组 播 地 址 
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(8 bit) 


Al 2-10 带 有 标志 P=1 的 组 播 地 址 06] 


迄今 为 止 ，IANA 已 经 分 配 了 许多 组 ID2? im, 组 ID =1 指 代 在 关联 范围 (由 
范围 字段 定义 ) 内 部 的 所 有 节点 ,组 ID =2 指 代 在 范围 内 的 所 有 路 由 器 等 。 范 围 字段 
是 如 下 定义 的 ， 周知 的 组 播 地 址 范例 如 下 。 

O F01:: 1= 本 链 路 上 的 所 有 节点 。 

@ FFO2:: 2 = 本 链 路 上 的 所 有 路 由 器 。 

@ FF05:: 1= 本 站 点 上 的 所 有 节点 。 

@ FF05:: 2 = 本 站 点 上 的 所 有 路 由 器 。 

2) T=1。 这 是 一 个 临时 分 配 的 或 短暂 的 组 播 地 址 。 它 可 以 是 为 一 个 特定 组 播 会 
话 或 应 用 分 配 的 地 址 。 一 个 范例 如 FF12:: 3: F; 10, 

(2) Pbit 指明 组 播 地 址 是 否 部 分 地 由 一 一 个 对 应 的 组 播 地 址 前 级 组 成 。 Pbit 定义 
mFS. 

1) P=0。 这 个 组 播 地 址 不 是 依据 网 络 前 缀 进行 分 配 的 。 带 有 P=0 的 一 条 组 


© ”请 参见 http: //www. iana. org/assignments/ipv6-multicast-addresses， 了 解 最 新 分 配 情况 。 
© 在 RFC330609 中 可 见 到 Pbit 定义 的 文字 描述 。 
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播报 文 的 格式 见 上 面 的 描述 ( 即 当 7=0 时 )， 带 有 112bit 的 组 ID 字段 。 

2) P=1。 这 个 组 播 地 址 是 如 下 分 配 的 : 依据 “拥有 ”组 播 地 址 分 配 能 力 的 单 播 
子 网 地 址 的 网 络 前 缀 进行 分 配 。 为 了 进行 比较 简单 的 管理 ， 这 使 与 所 分 配 单 播 空间 关 
联 的 组 播 空间 分 配 成 为 可 能 。 如 果 P=1， 则 7bit 也 设置 为 1。 一 条 组 播报 文 的 对 应 格 
式 如 图 2-10 所 示 。 

当 P=1 时 ,范围 字段 后 跟 8 个 零 bit (保留 )、 一 个 8bit 前 缀 长 度 字 段 以 及 一 个 
64bit 网 络 前 缀 字段 和 一 个 32bit 组 ID 字段 。 前 缀 长 度 字 段 代表 所 关联 单 播 网 络 地 址 
的 前 缀 长 度 。 网 络 前 缀 字段 包含 对 应 的 单 播 网 络 前 级 ， 而 组 ID 字段 包含 关联 组 播 
组 ID。 

例如 ， 如 果 一 个 单 播 地 址 2001; DB8: B7:: /48 被 分 配给 一 个 子 网 ， 一 个 对 应 
的 基于 单 播 的 组 播 地 址 将 具有 这 样 的 形式 ， 即 FF3s: 0030: 2001; DB8: B7:: g, 
其 中 

1) FF = ARMA. 

2) 3 =[0011],, BJ P=1, T=1, 

3) s= 一 个 有 效 的 范围 ， 我 们 将 在 下 一 节 定 义 。 

4) 00 = 保留 比特 。 

5) 在 我 们 所 举例 子 中 的 前 缀 长 度 ，30 = 十 六 进 制 表示 的 前 缀 长 度 = [0011 
0000], = 十 进 制 表 示 的 48。 

6) 2001: DB8: B7: 0 = 2001: 0DB8: 00B7: 0000 = 64bit 网 络 前 缀 字段 中 的 
48bit 网 络 前 级 。 

7) g = 一 个 32bit 的 组 ID。 

当前 缀 长 度 字 段 =FF A s<2 时 ， 这 种 格式 出 现 一 种 P=7=1 的 特殊 情形 。 在 这 
种 情形 中 ， 网 络 前 级 字段 不 是 由 单 播 网 络 地 址 组 成 的 ， 而 是 将 由 相应 接口 的 接口 D 
组 成 的 。 为 了 确保 接口 ID 的 唯一 性 ， 所 用 接口 ID 必须 已 经 通过 重复 地 址 检测 
(DAD) 过 程 ， 在 本 章 后 面 讨论 DAD 过 程 。 在 这 种 特殊 情形 中 ， 范 围 字段 必须 为 0、 
1 或 2， 这 意味 着 接口 本 地 范围 或 链 路 本 地 范围 。 在 RFC 4489" 中 ， 将 这 种 链 路 范围 
的 组 播 地 址 格式 定义 为 IPv6 地 址 结构 的 一 个 扩展 。 

(3) 标志 字段 中 的 Rbit 支持 一 个 组 播 会 聚 点 (RP) 的 指定 ，RP 支持 将 成 为 组 
播 组 署名 用 户 (成 员 )， 在 永久 地 加 入 到 组 之 前 ， 先 临时 地 连接 进来 。 如 果 Rbit 被 设 
置 为 1， 那 么 P 和 Thit 也 必须 设置 为 1。 当 R=1 时 ,组 播 地 址 是 基于 一 个 单 播 前 缀 
的 ,但 RP 接口 DD 也 要 加 以 指定 ( 见 图 2-11)。R =1 时 的 组 播 地 址 格式 等 同 于 R=0 
和 P=1 时 的 情形 ,例外 是 保留 字段 被 分 割 成 一 个 4bit 保留 字段 和 一 个 4bit 会 聚 点 接 
O ID (RID) 字段 。 

1) RP 的 IP 地址 是 通过 将 相应 前 缀 长 度 的 网 络 前 缀 与 RIID 字段 的 数值 串 接 得 到 
的 。 例 如 ， 如 果 在 该 [ 单 播 ] 网 络 上 的 一 个 RP 是 2001: DB8: B7:: 6， 则 关联 的 组 
播 地 址 将 是 FF7s: 0630: 2001: DB8: B7: g, 其 中 = 下 面 定 义 的 一 个 有 效 范围 ， 
g = 一 个 32bit 的 组 ID。 

2) 这 个 地 址 的 显 式 分 解说 明 如 下 。 
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图 2-11 带 有 标志 R=1 的 组 播 地 址 


O FF -AHHA 

@7=[0111],, 即 R=1、P=1 和 7T=1。 

© ;= 下 面 定 义 的 一 个 有 效 范围 。 

@ 0= 保 留 比 特 。 

© 6 = RIID 字段 ， 将 被 附加 在 网 络 前 缀 字段 后 面 。 

© 在 我 们 所 举例 子 中 的 前 级 长 度 ，30 = 以 十 六 进 制 表示 的 前 缀 长 度 = [0011 
0000], = 十进制 的 48。 

@ 2001: DB8: B7: 0 = 2001; 0DB8: 00B7: 0000 = 64bit 网 络 前 缀 字段 中 的 
48bit 网 络 前 绥 。 

® g=—~% 32bit 的 组 ID, 

3) 第 一 个 标志 比特 保留 ， 并 被 设置 为 0。 

2. 组 播 标 志 小 结 

谁 能 想到 组 播 寻 址 可 能 会 这 样 复杂 呢 ? 但 这 就 和 典型 情况 一 样 ， 随 复杂 性 而 来 的 
是 灵活 性 ! 总 结 一 下 ， 上 述 比 特 规定 的 净 结 果 产 生 了 当前 定义 标志 字段 的 如 下 有 效 数 
值 。 因 为 标志 字段 直接 跟 在 开始 的 8 个 “1”bit 之 后 ， 所 以 我 们 将 “有 效 前 级 ” 表 
示 为 开始 的 8bit 后 跟 有 效 的 4bit 标志 字段 ( 见 表 2-2)。 


表 2-2 组 播 标 志 小 结 













有 效 的 前 级 
FF00 : 


解释 

永久 地 分 配 112bit 组 人 D, 其 范围 受到 4bit 范围 字段 的 约束 
临时 地 分 配 112bit 组 ID ,其 范围 受到 4bit 范围 字段 的 约束 
临时 地 分 配 基于 单 播 前 缀 的 组 播 地 址 
临时 地 分 配 基 于 单 播 前 缀 的 组 播 地 址 , 带 有 会 聚 点 接口 DD 


标志 (二 进 制 ) 
0000 





:/12 



















所 有 其 他 标志 数值 


3. 范围 (Scope) 

范围 字段 确定 组 播 地 址 的 范围 或 “所 及 范围 ” (自然 是 足够 大 的 ) 。 这 由 路 由 器 
使 用 ， 用 相应 的 范围 沿 组 播 路 径 约束 组 播 通信 的 所 及 范围 。 注 意 ， 为 了 增强 相应 所 及 
范围 的 约束 ， 除 了 接口 本 地 、 链 路 本 地 和 全 局 外 的 范围 必须 采用 管理 方式 ， 在 服务 给 
定 范围 的 路 由 器 上 加 以 定义 。 表 2-3 简单 总 结 了 有 效 的 范围 数值 。 


2.2.6 特殊 情形 的 组 播 地 址 


(1) 被 请 求 的 〈solicited) 节点 组 播 地 址 。 每 个 节点 必须 支持 的 一 种 组 播 地 址 形 
式 是 被 请 求 的 节点 组 播 地 址 。 这 个 地 址 用 于 地 址 自动 配置 的 重复 地 址 检测 阶段 过 程 和 
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邻居 发 现 协议 ， 该 协议 使 一 条 链 路 上 识别 IPv6 节点 成 为 可 能 。 通 过 将 被 请 求 节 点 的 
接口 ID 最 低 (RAH) 24bit 添加 到 周知 的 FF02:: 1: FFOO/104 前 缀 之 后 ， 形 成 被 
请 求 的 节点 组 播 地 址 。 


表 2-3 组 播 范围 字段 解释 


















































范围 字段 
二 进 制 十 六 进 制 含义 (范围 ) 描述 
0000 0 保留 保留 
由 一 个 节点 上 单 接口 组 成 的 范围 , 仅 用 于 
0001 1 接口 本 地 回环 传输 
0010 2 链 路 本 地 组 播报 文 在 其 上 传输 的 链 路 范围 
0011 3 保留 保留 
0100 3 管理 本 地 受 限 在 管理 上 配置 的 最 小 范围 。 这 个 范围 
没有 依据 物理 连接 性 或 其 他 组 播 有 关 的 配置 
0101 5 站 点 本 地 范围 受 限于 管理 上 确定 的 站 点 
0110.0111 6,7 未 指派 未 用 
依据 管理 上 确定 的 一 个 组 织 机 构 内 部 的 多 
a 个 站 点 组 成 的 范围 
1001 ~ 1101 9~D 未 指派 未 用 
1110 E | 全 局 范围 不 受 限制 的 范围 
1111 F 保留 保留 


例如 ， 我 们 假定 一 个 节点 拟 解 析 IP 地 址 为 2001: DB8: 4E; 2A; 3001; FA81: 
95D0: 2CD1 的 设备 (接口 ) 的 链 路 层 地 址 。 使 用 最 低 24bitD02CD1 (十 六 进 制 )， 该 
设备 可 将 其 请 求 发 送 到 FF02:: 1: FFD0: 2CD1 ( 见 图 2-12) 。 


9 a 
ane at ish Es 000000 or 00101 EENS 


biloo 00000010 





. Se 00 11010001 
FE © 2 0 | EF D 0 Qe Cen Da 


图 2-12 被 请 求 的 节点 组 播 地 址 形成 方法 51 


(2) 节点 信息 查询 地 址 。 节 点 信息 查询 地 址 是 这 样 一 个 组 播 地 址 ， 它 支持 从 一 
台 IPv6 主机 请 求 主机 名 、IPv6 和 IPv4 地 址 信息 ( 见 图 2-13)。 如 果 您 认为 这 听 起 来 
有 点 与 DNS CARH REAR EE, AMRIT. Æ, WK RFC 4620” ， 解 
析 的 这 种 模式 “目前 限于 诊断 和 调试 工具 及 网 络 管理 ”。 要 得 到 这 种 信息 ,该 查询 并 
不 查询 一 台 DNS 服务 器 ， 而 是 将 一 条 查询 发 送 到 节点 信息 表 查 询 地 址 。 

这 种 组 播 地 址 格式 的 使 用 ， 支 持 一 个 IPv6 地 址 仅 基于 预期 接收 者 的 主机 名 即 可 
形成 ; 如 果 IPv6 地 址 已 经 知道 ， 且 请 求 了 主机 名 信息 ， 则 IPv6 地 址 本 身 就 可 用 作 目 
的 地 址 。 当 针对 一 个 已 知 的 主机 名 请 求 IP 地 址 信息 时 ， 使 用 128bit MD-5 算法 对 规范 
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11111111 00000010E 00000010 11117111 1100001007107110 17077009 


FF 0 2 0a FF €2" 62 po 
图 2-13 被 请 求 的 节点 信息 查询 地 址 


的 主机 名 ?进行 散 列 运算 ， 将 从 散 列 运 算得 到 的 前 24bit 添加 到 FF02:: 2: FF00: 0/ 
104 前 缀 后 面 。 当 每 个 节点 接收 到 以 这 个 节点 信息 查询 地 址 为 目的 地 的 消息 时 ， 它 将 
地 址 中 的 最 后 24bit 与 其 自身 主机 名 计算 出 的 散 列 数值 的 前 24bit 进行 比较 ; 如 果 两 者 
匹配 的 话 ， 则 接收 者 将 以 被 请 求 的 信息 做 出 应 答 。 


2.2.7 WAAR IPv4 地 址 的 IPv6 地 址 


在 第 15 章 中 ,我 们 将 讨论 IPv4 到 IPv6 的 迁移 和 共存 策略 ， 但 下 面 我 们 将 先 介绍 
一 下 IPv4 映射 的 IPv6 地 址 〈 见 图 2-14) 。 这 种 类 型 的 地 址 在 因特网 上 是 不 可 路 由 的 ， 
仅 可 由 一 些 〈 地 址 ) 转换 方案 使 用 ， 且 一 般 情况 下 ,不 应 该 用 在 一 条 通信 和 链 路 的 
IPv6 报 文 内 部 。 这 个 地 址 格式 由 80 个 0bit， 后 跟 16 个 1bit， 再 后 跟 32bit 的 IPv4 地 址 
组 成 。 
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图 2-14 IPv4 映射 的 IPv6 地 址 522] 
这 种 地 址 表示 法 将 人 们 熟悉 的 IPv4 点 分 十 进 制 格式 添加 到 指定 的 IPv6 前 缀 之 后 


进行 了 组 合 。 因 此 ，172.16.20.5 的 IPv4 映射 的 IPw6 地 址 将 被 表示 为 :: 
FFFF; 172. 16. 20.5。 





2.3 IPv6 地 址 自动 配置 


IPv6 被 宣称 的 优势 之 一 是 设备 可 自动 配置 它们 自身 IPv6 地 址 的 能 力 ， 对 于 设备 
当前 正在 连接 的 子 网 而 言 ， 该 地 址 是 独特 的 ， 且 与 该 子 网 有 关 。 有 三 种 基本 形式 的 
IPv6 地 址 自动 配置 。 

1) 无 状态 的 。 这 个 过 程 是 “无 状态 的 ”， 原 因 是 它 不 依赖 于 外 部 分 配 机 制 ( 例 





名 ”从 技术 角度 而 言 , “规范 的 主机 名 ”是 以 小 写字 母 表示 的 完全 符合 要 求 的 域名 的 第 一 个 “标签 ”。 
在 第 9 章 将 详细 描述 这 个 术语 ， 但 如 果 说 这 一 般 是 预期 发 送 到 的 目的 地 主机 名 ， 也 是 可 以 的 。 

O 注意 一 些 IPv4 协议 栈 ， 例 如 在 众多 协议 栈 中 微软 Windows 2000 和 XP 提供 的 协议 栈 ， 使 用 IPv4 
“ 链 路 本 地 ”地 址 空间 169. 254. 0.0/16 实施 地 址 自动 配置 。 
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如 IPv6 动态 主机 配置 协议 (DHCPv6) ) 的 状态 或 是 否 存在 。 在 没有 外 部 或 用 户 干预 
的 情况 下 ， 设 备 尝 试 配置 其 自身 的 IPv6 地 址 〈 可 能 是 多 个 地 址 ) 。 

2) 有 状态 的 。 有 状态 的 过 程 仅 依赖 于 外 部 地 址 分 配 机 制 〈 例 如 DHCPv6 ) 。DH- 
CPv6 服务 器 以 类 似 于 IPv4 DHCP 操作 的 方式 ， 将 128bit IPv6 地 址 分 配给 设备 。 在 第 5 
章 中 将 详细 描述 这 个 过 程 。 

3) 无 状态 和 有 状态 组 合 方式 。 这 个 过 程 涉及 无 状态 地 址 自动 配置 与 其 他 IP 参数 
的 有 状态 配置 相 结合 一 起 使 用 的 形式 。 通 常情 况 下 ， 这 需要 一 台 设 备 使 用 无 状态 方法 
自动 配置 一 个 IPv6 地 址 ， 之 后 利用 DHCPv6 得 到 其 他 参数 或 选项 ， 比 如 要 在 给 定 网 
络 上 联系 哪 台 NTP 服务 器 来 查询 时 间 分 辨 率 (resolution) 。 

在 最 基本 的 层次 上 ， 一 个 IPv6 单 播 地 址 的 自动 配置 包括 将 设备 所 连接 网 络 的 地 
址 (您 在 哪里 ) 和 设备 的 接口 ID (您 是 谁 ) 串 接 在 一 起 的 操作 。 让 我 们 首先 考虑 设 
备 如 何 确定 它 所 连接 网 络 的 地 址 。 


2.4 ”邻居 发 现 


在 IPv6 中 的 邻居 发 现 过 程 使 一 个 节点 能 够 发 现 它 所 连接 的 IPv6 子 网 地 址 。 一 般 
而 言 ， 邻 居 发 现 也 支持 在 子 网 上 识别 其 他 IPv6 节点 、 识 别 它们 的 链 路 层 地 址 、 发 现 
服务 该 子 网 的 路 由 器 (可 能 是 多 台 路 由 器 ) 以 及 实施 重复 地 址 检测 。 路 由 器 的 发 现 
使 IPv6 节点 能 够 自动 地 识别 子 网 上 的 各 路 由 器 ， 就 弱化 了 在 设备 的 他 配置 内 部 人 工 
配置 一 个 默认 网 关 的 需求 。 这 个 邻居 发 现 功 能 使 一 台 设备 可 识别 分 配给 链 路 的 网 络 前 
级 (可 能 有 多 个 前 级) 和 对 应 的 前 缀 长 度 ( 可 能 有 多 个 前 缀 长 度 )。 

发 现 过 程 需 要 每 台 路 由 器 周期 性 地 在 其 配置 的 每 个 子 网 上 发 送 通 告 ， 该 通告 指明 
它 的 下 地 址 ， 它 提供 默认 网 关 功 能 的 能 力 、 它 的 链 路 层 地 址 、 所 服务 链 路 上 的 网 络 
前 级 (可 能 有 多 个 前 缀 ) (包括 对 应 的 前 级 长 度 ) 和 有 效 的 地 址 寿命 ， 以 及 其 他 配置 
参数 。 

路 由 器 通告 也 指明 是 否 存在 一 台 DHCPv6 服务 器 可 用 于 地 址 分 配 或 其 他 配置 。 路 
由 器 通告 中 的 Mbit (被 管理 地 址 的 配置 标志 ) 指明 DHCPv6 服务 可 用 于 地 址 和 配置 
设置 。Obit (其 他 配置 标志 ) 指明 除了 IP 地 址 之 外 的 配置 参数 可 通过 DHCPv6 得 到 ; 
这 样 的 信息 可 能 包括 对 于 这 条 链 路 上 的 各 个 设备 可 查询 哪些 DNS 服务 器 。 各 节点 也 
可 使 用 路 由 器 请 求 消 息 ， 请 求 路 由 器 通告 ， 目 的 地 址 要 设 为 链 路 本 地 路 由 器 组 播 地 址 
(FF02:: 2). 


2.4.1 改进 的 EUI-64 接口 标识 符 


一 旦 一 个 节点 识别 出 它 所 连接 到 的 子 网 ， 那 么 通过 形成 其 接口 ID， 它 就 可 完成 
地 址 自动 配置 过 程 。IPv6 地 址 结构 约定 ， 除 了 那些 以 二 进 制 [000], 开始 的 地 址 外 ， 
所 有 单 播 IPv6 地 址 必须 利用 改进 的 EUI-64 算法 ,得 到 一 个 64bit 的 接口 中。 “未 改进 
的 ”EUI-64 算法 指 将 IEEE 向 每 个 网 络 接口 硬件 制造 商 〈 例 如 一 个 以 太 网 地 址 的 初始 
24bit) 发 行 的 24bit 公司 标识 符 与 一 个 40bit 的 扩展 标识 符 串 接 在 一 起 。 对 于 48bit 的 
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以 太 网 地 址 ， 以 太 网 地 址 的 公司 标识 符 部 分 (前 24bit) 后 跟 一 个 16bit 的 EUI 标签 
(定义 为 FFFE) ， 再 后 跟 24bit 的 扩展 标识 符 ( 即 以 太 网 地 址 剩 下 的 24bit) 。 

将 一 个 未 改进 的 标识 符 转换 为 一 个 改进 的 EUI-64 标识 符 所 需 的 改进 操作 ， 要 求 
逆转 公司 标识 符 字 段 的 “w”bit (全 局 /本 地 比特 )。“w”bit 是 公司 标识 符 字 段 中 从 
高 位 数 起 的 第 7 位 。 因 此 ， 一 个 48bit MAC 地 址 的 这 种 算法 是 ， 逆 转 “w”bit， 并 在 公 
司 标识 符 和 接口 标识 符 之 间 插 入 十 六 进 制 数值 FFFE。 使 用 MAC 地 址 AC-62-E8-49-5F- 
62 的 这 个 过 程 ， 如 图 2-15 所 示 ， 得 到 的 接口 ID 是 AE62: E8FF: FE49: 5F62, 

对 于 非 以 太 网 MAC 地 址 ， 该 算法 要 求 使 用 链 路 层 地 址 作为 接口 ID ， 并 带 有 零 填 
充 〈 从 “ 左 ” 开 始 ) 。 对 于 没有 链 路 层 地 址 可 用 的 各 种 情形 ， 例 如 在 一 条 拨号 链 路 上 
的 人 情况， 建议 一 个 唯一 的 标识 符 可 利用 另 一 个 接口 的 地 址 、 一 个 序列 号 或 其 他 设备 相 
关 的 标识 符 。 

接口 ID 也 许 不 是 唯一 的 ， 特 别 当 不 是 从 一 个 唯一 48bit MAC 地 址 得 到 的 情况 下 ， 
尤其 可 能 会 出 现 这 种 情况 。 因 此 ， 在 提交 新 地 址 之 前 ， 设 备 必 须 执 行 重复 地 址 检测 。 
在 完成 DAD 过 程 之 前 ， 认 为 地 址 是 暂时 的 。 


10101100 011090010 11101000 01001001 0101111101100010 


10101110 01100010 1410190001001001 0101 1141 0110091 





1910119001100010 11101000 14411111 11111910 81005008 03045191 04100040 
AES 692 “ES (ids SE ET ideo Mom R362 


图 2-15 改进 的 EUI-64 接口 ID 范例 0 





2.4.2 重复 地 址 检测 


使 用 邻居 发 现 过 程 实施 DAD， 是 指 为 了 识别 IP 地 址 的 一 个 先期 占有 者 ， 设 备 向 
它 推算 得 到 的 (或 从 DHCPv6 得 到 的 ) IPv6 地 址 发 送 一 条 IPv6 邻居 请 求 报 文 。 稍 稍 
延迟 之 后 ， 设 备 也 向 与 这 个 地 址 关联 的 被 请 求 节点 组 播 地址 发 送 一 条 邻居 请 求 报 文 。 

如 果 另 一 台 设 备 已 经 在 使 用 该 PP 地 址 ， 它 将 以 一 条 邻居 通告 报 文 做 出 响应 ， 那 
么 自动 配置 过 程 将 终止 ; 即 要 求人 为 干预 或 配置 该 设备 使 用 一 个 替代 的 接口 ID。 如 
果 没有 收 到 邻居 通告 报 文 ， 那 么 该 设备 可 假定 该 地 址 是 唯一 的 (未 被 使 用 ) ， 并 将 其 
分 配给 对 应 的 接口 。 不 仅 对 自动 配置 的 地 址 ,而且 对 那些 静态 确定 的 地 址 或 通过 DH- 
CPv6 得 到 的 那些 地 址 ， 都 要 求 参 与 执行 这 个 过 程 的 邻居 请 求 和 邻居 通告 。 

IPv6 地 址 有 一 个 寿命 ， 在 寿命 期 间 ， 它 们 是 有 效 的 〈 见 图 2-16) 。 在 一 些 情 形 
中 ， 寿 命 是 无 限 的 ， 但 地 址 寿命 的 概念 同样 适用 于 DHCPv6 租赁 的 地 址 和 自动 配置 的 
地 址 。 在 便利 网 络 重新 编 址 的 过 程 中 ,这 是 有 用 的 。 针 对 每 个 网 络 前 级 ， 路 由 器 都 被 
配置 一 个 首选 寿命 和 一 个 有 效 寿命 数值 ， 在 路 由 器 的 路 由 器 通告 消息 中 ， 它 们 通告 为 
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每 个 网 络 前 缀 通告 这 两 个 数值 。 成 功 地 通过 上 面 所 述 重复 地 址 检测 过 程 而 被 证 明 唯 一 
的 正 地 址 ， 可 认为 是 首选 的 或 过 时 的 (deprecated)。 无 论 是 在 哪 种 状态 ， 该 地 址 都 
是 有 效 的 ， 但 这 种 差异 为 上 层 协议 〈 例 如 TCP, UDP) 提供 了 选择 在 后 续 会 话 过 程 中 
不 太 可 能 会 发 生变 化 的 一 个 IP 地 址 的 方式 。 

依据 通告 的 数值 ， 一 台 设 备 采用 每 条 路 由 器 通告 中 的 数值 ， 刷 新 它 的 首选 时 间 和 
有 效 时 间 。 当 一 个 首选 前 级 的 时 间 过 期 时 ， 所 关联 的 地 址 (可 能 是 多 个 地 址 ) 将 成 
为 过 时 的 ， 虽然 仍 然 是 有 效 的。 因此 ， 过 时 的 状态 提供 了 一 个 过 渡 时 间 ， 在 此 期 间 ， 
该 地 址 仍然 是 可 用 的 ， 但 不 应 该 用 之 发 起 新 的 通信 。 一 旦 地 址 的 有 效 寿 命 过 期 ， 则 该 
地 址 不 再 有 效 ， 即 不 能 再 用 。 如 果 一 个 子 网 被 重新 分 配 一 个 不 同 的 网 络 前 级 ， 则 路 由 
铝 可 被 配置 为 通告 新 的 前 级 ， 当 老 的 前 级 过 期 时 ， 在 网 络 上 的 设备 将 使 用 新 的 前 级 实 
施 自 动 配置 过 程 。 


初始 化 并 定义 接口 ID 通过 重复 
或 发 出 DHCPv6 索 求 地 址 检测 














地 址 有 效 









暂时 的 首选 的 





时 间 通告 首选 寿命 


通告 有 效 寿命 














路 由 器 通告 或 
DHCPv6 地 址 指派 
图 2-16 IPv6 地 址 寿命 (该 图 依据 参考 文献 [19] MH) 


2.5 保留 的 子 网 任意 播 地 址 


RFC 2526 “为 保留 的 子 网 任意 播 地 址 定义 了 格式 。IPv6 设备 使 用 这 些 地 址 将 报 
文 路 由 到 一 个 具体 指定 子 网 上 一 种 特定 类 型 的 距离 最 近 的 设备 。 例 如 ， 一 个 保留 的 子 
网 任意 播 地 址 可 被 用 来 将 报 文 发 送 到 一 个 具体 指定 子 网 上 的 距离 最 近 的 移动 IPv6 家 
乡 代 理 。 因 为 全 局 路 由 前 缀 和 子 网 ID 是 在 这 个 地 址 类 型 内 部 确定 的 ， 所 以 它 使 一 个 
市 点 能 够 在 那个 子 网 上 定位 期 望 类 型 的 最 近 距 离 的 节点 。 

地 址 的 格式 取 两 种 形式 之 一 ,依据 是 子 网 前 级 是 否 要 求 以 改进 的 EUL64 格式 形 
成 接口 ID 字段 。 回 顾 一 下 ， 所 有 全 局 单 播 地 址 (除了 以 [000], 开始 的 那些 单 播 地 
址 外 ) 必须 利用 64bit 的 接口 D， 是 基于 接口 的 链 路 层 地 址 和 前 面 所 描述 的 EUL64 
算法 形成 接口 ID 的 。 

(1) 如 果 要 使 用 EUI-64 算法 ,那么 保留 的 子 网 任意 播 地 址 是 通过 串 接 以 下 字段 
而 形成 的 〈 见 图 2-17) 。 

0 63 64 


网 络 前 级 





(64 bit) 


图 2-17 当 要 求 使 用 EUI-64 时 ， 保 留 的 子 网 任意 播 地 址 格式 [20] 
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1) 64bit 全 局 路 由 前 缀 和 子 网 ID, 

2) 除了 这 个 序列 中 的 第 7bit (从 左 向 右 数 ， 从 1 开始 算 起 的 第 71bit) 为 0 外， 
其 他 57bit 都 全 为 1。 当 实施 EUI-64 算法 时 ， 这 个 第 7bit 对 应 于 硬件 地 址 中 公司 标识 
符 字 段 的 “w”bit (全 局 /本 地 比特 )。 在 这 个 特定 场景 中 ， 这 个 比特 总 是 为 0， 表 示 
该 比特 的 “本 地 ”设置 。 

3) 7bit 的 任意 播 ID 。RFC 2526 为 移动 IPv6 家 乡 代 理 任 意 播 定义 单一 任意 播 ID 
为 十 六 进 制 的 7E。 虽 然 IANA 可 依据 未 来 IETF RFC 发 布 版 本 (publications) ， 分 配 其 
他 任意 播 ID, 但 目前 其 他 任意 播 ID 数值 是 保留 的 。 

(2) 如 果 EUI-64 不 被 要 求 依 据 全 局 路 由 前 级 和 子 网 ID 生成， 那么 网 络 前 缀 长 度 
中 的 nbit 就 是 任意 的 ， 后跟 121-n bit， 再 后 跟 7bit 任意 播 ID ( 见 图 2-18)。 


0 ne. 121—n bit 120 121 









11111111 ti 


K 2-18 当 不 要 求 使 用 EUI-64 时 ， 保 留 的 子 网 任意 播 地 址 格式 [201 


2.6 必 备 的 主机 卫 vw6 地 址 


RFC 4294") 总 结 了 IPv6 节点 (实施 IPv6 的 一 台 设 备 ) 和 IPv6 路 由 器 的 要 求 。 
就 必 备 的 地 址 而 言 ， 所 有 IPv6 节点 必须 能 够 自己 识别 如 下 IPv6 地 址 。 

1) 回环 地 址 (:: 1)。 

2) 它 的 链 路 本 地 单 播 地 址 〈 通 过 自动 配置 过 程 配 置 的 FE80:: < 接口 ID > )。 

3) 所 有 节点 组 播 地 址 (FF0s:: 1， 其 中 ;= 范围 )。 

4) 在 每 个 接口 上 自动 或 人 工 配 置 的 单 播 和 任意 播 地 址 。 

5) 针对 它 的 每 个 单 播 和 任意 播 地 址 得 到 的 被 请 求 节点 组 播 地 址 。 

6) 该 节点 所 属 每 个 组 播 组 的 组 播 地 址 。 

要 求 一 台 路 由 器 节点 支持 上 述 地 址 ， 除 此 之 外 ， 还 要 支持 如 下 地 址 。 

1) 子 网 路 由 器 任意 播 地 址 ( < 子 网 前 缀 > :: /128 ， 即 接口 ID =0s) 。 

2) 所 有 路 由 器 组 播 地 址 (FF0s:: 2, 其 中 ;= 范围 )。 

3) 在 该 路 由 器 上 配置 的 任意 播 地 址 。 

诸如 DHCP 服务 器 和 DNS 服务 器 等 其 他 设备 类 型 ， 必 须 识 别 范围 受 限 的 组 播 地 
址 (对 应 于 IANA 分 配 的 组 ID ( 即 当 标志 =0 时 的 情况 ) ) 。 
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在 本 章 我 们 将 从 作为 IP 地 址 管理 实践 基础 的 技术 和 应 用 展开 描述 。 另 外 ， 我 们 
将 通过 范例 的 方式 ， 展 示 这 些 技 术 和 应 用 。 因 此 以 IP 地 址 分 配 基础 知识 开始 ， 我 们 
将 逐步 地 将 每 个 新 概念 应 用 到 一 个 被 称 为 国际 处 理 和 材料 ( International Processing 
and Materials, IPAM) 全 球 公 司 的 一 个 假想 组 织 机 构 和 IP Address Management 
(IPAM) (本 书 名 ) 简写 相同 ， 有 意思 的 文字 游戏 而 已 !) IPAM 全 球 公 司 的 基本 组 
织 机 构 由 在 菲律宾 的 一 个 全 球 总 部 和 分 布 于 全 球 三 个 主要 地 理 的 分 部 组 成 ， 这 三 个 分 
部 分 别 位 于 欧洲 的 都 柏林 、 北 美的 费城 和 亚洲 的 东京 。IPAM 全 球 公 司 有 大 约 17000 
名 雇员 和 24 个 配送 中 心 (也 作为 分 支 办 事 处 ) 和 另外 37 个 办 事 处 〈 仅 作为 分 支 办 
事 处 ) 。 图 3-1 给 出 一 个 基本 的 位 置 表格 ， 突 出 显示 了 每 个 分 部 和 相应 的 配送 中 心 及 
分 支 办 事 处 。 

IP 网 络 的 部 署 将 主要 由 各 种 因素 决定 ， 即 用 户 所 在 的 IP 网 络 位 于 何 处 〈 依 据 图 
3-1 中 列 出 的 站 点 )、 在 每 个 位 置 的 用 户 数 量 、 对 信息 资源 〈 例 如 内 部 应 用 和 因特网 ) 
访问 的 用 户 需 求 的 多 样 性 以 及 管理 IP 网 络 的 行政 管理 〈 从 安全 到 审计 等 ) 需求 的 多 
样 性 等 所 决定 。 因 为 与 各 种 商务 需要 有 关 的 输入 的 多 样 性 ， 一 般 来 说 ， 任 何 一 个 机 构 
的 IP 网 络 看 起 来 与 任何 其 他 机 构 的 IP 网 络 都 多 少 有 点 不 同 。 但 是 ,我们 讨论 的 技术 
应 该 可 以 广泛 地 用 于 各 种 类 型 的 网 络 (包括 您 的 网 络 )。 
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图 3-1 IPAM 全 球 公司 全 球 各 处 的 位 置 和 办 事 处 
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图 3-1 IPAM 全 球 公司 全 球 各 处 的 位 置 和 办 事 处 〈( 续 ) 


IPAM 全 球 公司 的 IT 团队 决定 在 机 构 总 部 和 地 区 分 部 之 间 部 署 一 个 高 速 骨干 或 核 
心 网 。 从 每 个 区 域 分 部 办 事 处 出 发 ， 为 发 射线 状 ， 形 成 的 是 一 个 大 陆 内 部 的 广域网 
(WAN) ， 将 每 个 地 区 的 零售 点 、 配 送 点 和 分 支 办 事 处 互联 起 来 。 依 据 这 种 基本 的 两 
层 结构 的 核心 网 络 和 区 域 网 络 思路 ， 构 建 而 成 的 每 个 分 支 网 络 进一步 分 成 地 理 区 域 。 
例如 ， 在 北美 ， 分 支 网 络 将 行政 辖 域 分 成 三 个 子 区 域 : 东部 、 中 部 和 西部 ， 之 后 进 一 
步 分 成 主要 的 配送 中 心 和 分 支 办 事 处 站 点 。 类 似 地 ， 欧 洲 区 域 分 成 西部 、 南 部 和 东部 
区 域 。 

依据 这 个 拓扑 ，IT 团队 决定 在 地 址 空间 方面 模仿 这 个 结构 ,我们 接 下 来 可 明白 
这 点 。 因 此 ， 一 个 核心 网 络 互联 区 域 分 部 站 点 ， 每 个 区 域 分 部 作为 其 相应 区 域 网 络 和 
核心 网 络 之 间 的 中 继 (intermediary) 。 每 个 区 域 网 络 将 该 区 域内 的 相应 配送 中 心 和 分 
支 办 事 处 互联 起 来 。 从 一 个 机 构 角度 看 ， 每 个 区 域 有 其 自己 的 开 团 队 ， 该 团队 将 负 
责 管理 其 自己 的 空间 以 及 关联 的 DHCP 服务 器 与 DNS 服务 器 配置 。 图 3-2 画 出 高 层 的 
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IPAM 全 球 公司 网 络 拓扑 设计 。 

就 卫 地址 空间 分 配 而 言 ，IPAM 全 球 公司 将 部 署 一 个 10.0.0.0/8 网 络 ， 这 是 依 
据 RFC 1918 规定 的 私有 地 址 空间 。 公 开 地 址 空间 192. 0. 2.0/24 是 从 一 个 ISP 得 到 的 
(在 本 章 后 面 ， 我 们 将 讨论 这 个 空间 是 从 哪里 得 到 的 ， 并 讨论 ISP 公开 地 址 空间 分 配 ， 
及 其 策略 ) 。 这 个 公开 空间 将 分 配给 连接 因特网 的 设备 ， 如 Web 服务 器 、 电 子 邮 件 网 
关 和 用 于 合作 方 连接 和 远 端 雇员 的 VPN 网 关 。 另 外 ， 该 公开 地 址 空间 的 一 部 分 是 保 
留 部 署 的 ， 保 留用 于 连接 ISP 的 一 台 网 络 地 址 转换 (NAT) 防火 墙 上 的 一 个 公开 地 址 
池 。 如 我 们 在 第 1 章 介绍 的 ， 一 台 NAT 可 配置 为 自动 地 实施 私有 地 址 到 公开 地 址 的 
转换 ， 其 目的 是 使 私有 编 址 (内部) 的 主机 能 够 访问 因特网 。 


pa 配送 中 心 


: est 


te ae a 
esai 


Eees 分 支 办 事 处 
配送 中 心 







we 
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图 3-2 IPAM 全 球 公司 的 网 络 拓扑 〈 部 分 拓扑 ) 


3.1 ”地址 分 配 逻辑 9 


有 效 的 IP 地址 分 配 要 求 最 佳 的 规划 ， 理 想 情况 下 ,需要 准确 的 预测 。 了 解 网 络 
层次 结构 每 个 层次 的 IP 地 址 空间 需求 ， 使 地 址 空间 的 最 优 分 配 可 完全 满足 地 址 容量 
需要 ， 同 时 最 小 化 地 址 空间 的 浪费 。 当 然 在 现实 中 ， 要 得 到 一 项 准确 的 长 期 全 地 
址 预测 是 极其 罕见 的 奢求 。 商 务 需 求 驱动 永恒 的 变化 ， 新 站 点 的 开通 ， 一 些 站 点 
关闭 了 或 迁 走 了 ， 新 的 IT 创业 公司 喜欢 使 用 IP 上 的 语音 业务 (IP 电话 ) 办 公 ， 甚 
至 洽谈 兼并 公司 业务 时 也 是 如 此 。 这 些 战略 性 事件 通常 可 预先 做 出 计划 ， 除 此 之 
外 ， 组 织 结构 的 动态 变化 在 地 址 容量 需求 方面 可 能 导致 较 短 期 的 变化 〈 紊 乱 ) 。 例 
如 ， 也 许 一 个 区 域 性 的 组 织 机 构 正 在 实施 一 项 异常 成 功 的 顾客 推广 计划 ,导致 P 
地 址 需求 的 突然 增加 ， 或 一 个 新 项 目 正在 导致 卫 地 址 需求 的 变动 (原因 是 项 目 资源 
临时 地 处 在 相同 位 置 ) 。 

您 的 底线 是 在 如 下 方面 尽 全 力 而 为 ， 即 预先 规划 高 层 地 址 容量 需求 ， 为 可 能 的 规 
模 扩 展 添加 某 个 额外 的 “保障 ” (insurance) 地 址 空间 ， 之 后 提前 监测 地 址 使 用 率 ， 


日 ”分 配 逻 辑 和 范例 的 依据 是 参考 文献 [11] 第 6 章 中 的 类 似 内 容 。 


32 IP 地 址 管理 原理 与 实践 





以 此 作为 一 个 反馈 环 路 ， 确 保 在 考虑 短期 和 长 期 地 址 影响 事件 的 情况 下 ， 所 分 配 的 地 
址 正 被 有 效 地 利用 。 作 为 UP 空间 管理 中 的 一 项 主要 功能 ， 预 先 部 署 的 监测 可 触发 地 
址 空间 分 配 或 移动 到 地 址 需要 比较 紧急 之 处 。 

当然 ， 预 先 部 署 监测 的 密度 将 直接 与 地 址 空间 的 利用 率 成 比例 。 如 果 您 所 在 网 络 
的 利用 率 在 90% 以上， 那么 您 将 需要 每 小 时 或 至 少 一 天 数 次 监测 它们 的 利用 率 。 利 
用 率 在 70% 以 下 的 网 络 ， 监 测 检查 在 一 周 数 次 的 频 度 即 可 。 理 想 情况 是 ， 在 一 个 监 
测 或 IP 地 址 管理 系统 内 部 ， 定 义 阔 值 和 报警 条 件 ， 从 而 缓解 人 工 连续 监测 网 络 的 需 
要 ， 同 时 使 关联 的 管理 系统 收集 信息 ,并 在 出 现 一 个 特定 的 容量 利用 条 件 时 向 您 
报警 。 

除了 容量 需要 之 外 ， 另 一 个 重要 考虑 因素 是 以 一 种 层次 结构 方式 分 配 IP 地 址 块 ， 
这 样 可 使 地 址 空间 能 够 高 效率 地 “ 折 卷 ”到 最 高 层次 。 为 降低 路 由 协议 流量 和 路 由 
表 额 外 负担 ， 这 项 实践 措施 对 于 最 大 化 路 由 汇聚 是 至 关 重 要 的 。 当 分 配 空间 时 ， 这 是 
比 考虑 路 由 拓扑 更 重要 的 事情 。 

第 三 项 考虑 因素 是 最 近 才 发 生 的 一 种 现象 : 依据 应 用 而 实施 地 址 分 配 。 由 于 某 些 
应 用 (例如 也 语音 , 一般 情况 下 ， 相 比 于 数据 可 容忍 数秒 的 时 间 延 迟 而 言 ， 它 要 求 
在 数 十 毫秒 量 级 的 低 延迟 ) 的 延迟 或 服务 质量 (QoS) 需求 ,一 些 网 络 规划 人 员 实 施 
基于 应 用 的 路 由 处 理 措施 。 实 施 这 种 措施 的 一 种 方式 是 ， 例 如 分 割 出 整体 地 址 空间 的 
一 部 分 ， 用 于 具有 较 高 优先 级 排队 要 求 的 语音 处 理 ， 同 时 将 此 空间 与 数据 空间 隔离 
开 。 其 他 具有 “特殊 需要 ”的 IP 应 用 可 能 要 求 进一步 的 地 址 划分 。 


3.1.1 顶层 分 配 逻 辑 


为 了 形象 说 明 地 址 分 配 概念 ， 让 我 们 将 这 些 概 念 应 用 到 IPAM 全 球 公司 的 私有 地 
址 块 10. 0. 0.0/8。 当 实施 像 这 样 的 顶层 分 配 时 ， 要 牢记 在 心 的 是 , AMV IP 地 址 表 
示 的 所 需 容量 是 绝对 必要 的 ， 而 且 子 分 块 或 层次 结构 各 层 的 数量 也 是 绝对 必要 的 。 在 
IPAM 全 球 公 司 的 情形 中 ， 我们 将 地 址 分 层 结 构 各 层 定义 如 下 。 

1) 应 用 。 

2) 大 陆 级 层 或 核心 层 。 

3) 区 域 层 。 

4) 站 点 或 建筑 物 。 

因此 ， 我们 的 顶层 分 配 将 依据 应 用 分 割 的 地 址 空间 。 那 么 将 在 核心 路 由 器 或 大 陆 
级 层次 分 配 每 个 应 用 特定 的 地 址 ， 之 后 依据 区 域 ， 最 后 依据 办 事 处 进行 地 址 分 配 。 因 
为 有 四 个 层 的 分 配 结构 ， 所 以 我 们 将 不 得 不 沿 非 字 节 边界 进行 分 配 。 所 以 让 我 们 从 
CIDR 网 络 表示 法 和 对 应 的 二 进 制 表示 法 两 个 角度 对 此 进行 考察 。 

这 个 网 络 的 二 进 制 表 示 如 下 所 示 。 该 地 址 的 网 络 部 分 ， 其 长 度 由 /8 表示 法 加 以 


O ”采用 占 整 块 百分比 的 做 法 ， 并 不 总 是 可 采取 的 最 佳 触发 行动 法 ， 特 别 当 在 整个 组 织 机 构 内 部 使 用 
不 同 尺寸 的 子 网 时 ， 更 是 如 此 。 有 10 个 地 址 的 子 网 的 90% 利用 率 ， 当 然 比 有 1000 个 地 址 的 子 网 
的 90% 利用 率 要 具有 较 高 的 地 址 需求 紧迫 度 。 
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识别 ， 以 黑 斜 体 突出 显示 ， 而 本 地 部 分 是 正常 文本 。 

私有 网 络 10. 0. 0.0/8 00001010 00000000 00000000 00000000 

将 这 个 空间 在 该 机 构 各 部 分 间 分 配 时 ， 让 我 们 假定 ，IPAM 全 球 公 司 正 计划 在 不 

久 的 将 来 要 推广 IP 电话， 并 在 以 后 推广 其 他 IP 服务 。 让 我 们 取 网 络 地 址 的 下 一 个 
4bit， 并 分 配 等 尺寸 的 /12 网 络 。 这 将 提供 2 =16 个 潜在 的 高 层 应 用 ， 同 时 在 每 个 
分 配 中 提供 2%”>100 万 个 全 地 址 。 因 此 ， 我 们 为 每 个 基础 设施 地 址 空间 分 配 一 个 
/12 网 络 ， 为 IP 电话 的 他 地 址 “ 子 空间 ”分 配 一 个 /12 网 络 ， 为 数据 子 空间 分 配 一 
个 /12 网 络 。 这 种 分 配 展示 如 下 ， 黑 斜体 比特 同样 表示 网 络 (网 络 + 子 网 ) 部 分 ， 正 
常 格式 的 比特 代表 主机 比特 。 

私有 网 络 10.0.0.0/8 00001010 00000000 00000000 00000000 

基础 设施 10.0.0.0/12 00001010 00000000 00000000 00000000 

语音 10. 16.0.0/12 00001010 00010000 00000000 00000000 

数据 10. 32.0.0/12 00001010 00100000 00000000 00000000 


3.1.2 第 二 层 分 配 逻 辑 


这 种 比较 初步 的 应 用 层 分 配 法 ,将 我 们 的 最 初 一 整 块 /8 地 址 空间 重新 规整 为 三 
个 /12 空间 (依据 每 个 应 用 分 配 的 )。 在 这 个 层次 使 用 /12 的 决定 是 第 一 层 的 分 配 数 
量 和 每 个 分 配 可 用 的 地 址 数量 之 间 的 一 个 折 中 考虑 。 如 果 我 们 决定 分 配 /11 形式 的 网 
络 ， 那 么 我 们 将 总 的 得 到 8 个 /11 网 络 ， 每 个 网 络 有 200 万 以 上 的 IP 地址。 在 IPAM 
全 球 公司 的 情形 中 ， 考 虑 到 每 个 /12 MARA 100 万 个 IP 地 址 ， 使 未 来 分 配 有 更 多 可 
用 的 顶层 块 ， 比 起 管理 每 块 的 容量 来 ， 是 人 们 更 加 关注 的 问题 。 如 果 一 个 特定 的 分 配 
用 光 了 ， 则 我 们 可 分 配 另 一 个 /12 块 。 

第 二 层次 以 及 后 续 层 次 分 配 的 块 大 小 决策 ， 一 般 来 说 ， 应 该 采用 不 同 的 逻辑 。 不 
应 该 在 分 配 尺寸 与 相等 尺寸 分 配 数量 之 间 的 折 中 方面 做 文章 ， 而 应 该 使 用 一 种 优化 的 
分 配 策略 。 这 种 优化 策略 需要 不 断 地 将 地 址 空间 缩小 一 半 ， 直 到 达到 要 求 的 尺寸 。 采 
用 这 种 方法 的 主要 原因 是 ， 它 使 你 能 够 保留 较 大 块 的 未 分 配 地 址 空间 ， 以 便 用 于 较 大 
的 请 求 和 替代 分 配 。 

如 果 您 曾经 经 历 过 一 个 公司 的 合并 ， 那么 您 可 能 遇 到 过 如 下 的 一 种 情景 ， 这 种 情 
景 很 好 地 展示 说 明了 优化 分 配 的 动机 (出 发 点 )。 让 我 们 假设 IPAM 全 球 公司 收购 了 一 
家 公司 ， 网 络 集成 策略 要 求 向 新 的 分 部 分 配 250000 A IP 地 址 。 为 了 最 小 化 混乱 (并 充 
分 显示 对 此 竞争 开 组 织 机 构 的 网 络 控制 力 ) ，IPAM 全 球 公 司 期 望 分 配 单一 的 /14 网 
络 ， 做 到 支持 262142 个 地 址 。 

如 果 我 们 优化 地 分 配 我 们 的 地 址 空间 ， 那 么 也 许 恰巧 有 一 个 /14 网 络 可 用 (IP 地 
址 分 配 大 师 !) 。 如 果 在 各 处 采用 分 配 /16 网 络 的 一 种 统一 方法 ， 也 许 幸运 地 得 到 可 组 
成 一 个 /14 网 络 的 四 个 连续 /16 网 络 (幸运 的 业余 选手 !) 。 如 果 没 有 找到 四 个 连续 的 
/16 网 络 ， 则 不 得 不 分 配 四 个 非 连续 的 /16 网 络 ; 这 会 使 路 由 表 和 路 由 协议 更 新 表 项 
增加 4 倍 的 额外 负担 〈 四 个 /16 网 络 对 一 个 /14 网 络 一 一 新 手 !) 。 采 用 连续 的 二 分 法 ， 
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而 不 是 均匀 单一 尺寸 的 分 割 方法 ,更 可 能 存在 一 个 /14 网 络 可 用 于 分 配 。 让 我 们 看 看 
这 是 如 何 做 到 的 。 
如 果 我 们 从 10. 0. 0. 0/12 基础 设施 地 址 块 开 始 ， 并 将 之 二 分 ， 得 到 如 下 所 示 的 两 
个 /13 地 址 块 。 利 用 二 进 制 运算 的 特点 ， 将 下 一 个 “主机 ”比特 关联 到 网 络 ， 就 会 将 
原始 网 络 二 分 。 注 意 10. 0. 0. 0/12 网 络 不 再 存在 ， 所 以 我 们 将 其 背景 涂 灰 来 说 明 这 
点 ; 它 已 经 被 分 成 两 个 /13 网 络 。 
原始 网 络 10.0.0.0/12 00001010 00000000 00000000 00000000 
前 一 半 10. 0.0.0/13 00001010 00000000 00000000 00000000 
后 一 半 10. 8. 0.0/13 00001010 00001000 00000000 00000000 
接 下 来 ， 我 们 将 上 面 的 “前 一 半 ” 二 分 ， 留 下 10. 8. 0.0/13 地 址 块 为 未 来 用 途 或 
基础 设施 应 用 (或 收购 合并 !) 的 子 网 划分 。 现 在 我 们 将 地 址 的 网 络 部 分 扩展 到 第 
14bit， 从 而 将 10.0.0.0/13 二 分 , 得 到 如 下 的 两 个 /14 网络。 注意 到 这 和 处 理 
10. 0. 0. 0/12 网 络 一 样 ，10. 0. 0.0/13 网 络 也 不 再 作为 一 个 实体 存在 ， 所 以 也 将 其 背 
景 涂 灰 。 它 被 分 割 成 两 个 /14 网 络 ， 如 下 所 示 。 但 是 ,依据 需要 ,该 机 构 可 将 
10. 8. 0. 0/13 网 络 用 于 进一步 的 分 配 。 


原始 网 络 10.0.0.0/12 00001010 00000000 00000000 00000000 
原始 网 络 的 前 一 半 10.0.0.0/13 00001010 00000000 00000000 00000000 
第 一 个 /14 10.0.0.0/14 00001010 00000000 00000000 00000000 
第 二 个 /14 10.4.0.0/14 00001010 00000100 00000000 00000000 


原始 网 络 的 后 一 半 “10.8.0.0/13 00001010 00001000 00000000 00000000 
从 整体 分 配角 度 看 ， 将 这 个 二 分 过 程 可 视 化 的 一 种 方式 是 ， 将 地 址 空间 看 作 一 个 
饼 图 ， 如 图 3-3 所 示 。 如 果 我 们 的 整个 大 饼 代 表 基 础 网 络 10. 0. 0. 0/12， 那 么 我 们 将 
之 二 分 ， 产 生 两 个 /13 网 络 ， 如 图 3-3 左 侧 所 示 。 之 后 ， 将 一 个 /13 网 络 留 作 “ 可 用 ” 
空间 〈 左 侧 的 一 半 ) ， 并 将 另 一 个 /13 网 络 〈 右 侧 的 一 半 ) 分 成 两 个 /14 网 络 ， 如 图 
3-3 右 侧 一 半 所 示 。 


整个 饼 图 :10.0.0.0712 整个 饼 图 :10.0.0.0/12 
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图 3-3 ”地址 分 配 的 饼 图 (依据 参考 文献 [11，166] ) 
继续 使 用 这 个 逻辑 ， 直 到 得 到 一 个 /16 网 络 的 情形 ， 我们 得 到 如 下 过 程 : 
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.0/12 00001010 00000000 00000000 00000000 
.0/13 00001010 00000000 00000000 00000000 
第 一 个 /14 10. 0. 0. 0/14 00001010 00000000 00000000 00000000 
第 一 个 /15 10. 0. 0. 0/15 00001010 00000000 00000000 00000000 


原始 网 络 10.0.0 
0 
0 
0 

第 一 个 /16 10. 0. 0. 0/16 00001010 00000000 00000000 00000000 
0 
0 
0 


前 一 半 (/13) 10.0. 


第 三 个 X16 10. 1. 0. 0/16 00001010 00000001 00000000 00000000 
第 三 个 X15 10. 2. 0. 0/15 00001010 00000010 00000000 00000000 
第 一 个 /14 10. 4. 0. 0/14 00001010 00000100 00000000 00000000 
后 一 半 (Z13 ) 10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
当 每 个 “第 一 ”地 址 块 被 分 割 时 ， 它 就 创建 了 网 络 掩 码 长 度 比 原始 地 址 块 长 1bit 
的 两 个 网 络 。 既 然 我 们 执行 了 这 种 分 割 ， 则 得 到 两 个 /16 网 络 : 10.0.0.0/16 和 
10. 1.0.0/16， 其 产生 过 程 如 上 所 述 。 在 两 个 突出 显示 的 /16 地 址 块 下 面 ， 也 还 有 一 
个 /15、 一 个 /14 和 一 个 /13 地 址 块 可 以 使 用 。 存 在 这 些 地 址 块 的 原因 是 ， 网 络 “第 一 
个 ”集合 被 连续 地 分 割 成 相等 的 两 份 ， 这 样 得 到 的 “第 一 个 ”网 络 再 进一步 分 割 ， 
“第 二 个 ”网 络 可 保留 为 其 他 的 未 来 分 配 或 指派 。 最 小 的 “第 一 个 ”网 络 ， 即 
10. 0. 0.0/16， 是 满足 要 求 尺寸 的 、 可 分 配 的 一 个 网 络 。 
10. 0. 0.0/16 00001010 00000000 00000000 00000000 
10. 1. 0.0/16 00001010 00000001 00000000 00000000 
10. 2. 0. 0/15 00001010 00000010 00000000 00000000 
10. 4. 0. 0/14 00001010 00000100 00000000 00000000 
10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
但 IPAM 全 球 公司 要 求 第 三 个 /16 网 络 。 我 们 应 该 从 哪个 地 址 块 中 分 配 这 个 网 络 
WE? 为 了 与 保留 较 大 的 地 址 块 的 建议 相 一 致 ， 我 们 将 取 最 小 尺寸 的 下 一 个 可 用 网 络 进 
行 分 配 。 在 我 们 的 情形 中 ， 从 上 面 的 列表 看 出 ，10. 2. 0. 0715 网 络 可 用 于 进一步 的 分 
配 。 如 果 我 们 将 这 个 /15 网 络 分 成 两 个 /16 网 络 ， 则 得 到 10. 2.0.0/16 和 10. 3. 0.0/16。 
之 后 我 们 将 按照 前 面 所 展示 说 明 的 步骤 ， 
将 这 两 个 网 络 中 的 前 一 个 网 络 加 以 分 配 ， 
并 将 后 一 个 网 络 用 于 未 来 分 配 。 得 到 的 饼 
图 如 图 3-4 所 示 ， 上 面 标 有 被 分 配 的 空间 。 aoon 
注意 ,我 们 仍然 有 许多 大 型 地 址 块 可 262 144 IPs 
用 于 进一步 的 分 配 或 指派 。 仅 有 这 个 饼 图 | s228 Toate 
中 较 暗 阴影 钦 形 部 分 组 成 已 被 分 配 的 三 个 / 
16 网 络 。 与 上 部 的 表 中 后 续 分 割 有 关 的 饼 
图 之 中 ,在 每 个 “第 一 个 ”二 分 之 一 地 址 65 534 IPs 
块 是 被 指派 的 或 被 分 割 成 更 小 的 分 配 ， 它 rr 
得 到 一 个 对 应 的 “第 二 个 ”二 分 之 一 地 址 65 534 IPs 
kh, 该 块 仍然 是 空闲 的 或 可 用 的 。 因 此 ， 图 3-4 从 /12 空间 分 配 三 个 /16 网 络 空间 
依据 这 个 初始 分 配 ， 得 到 的 IPAM 全 球 公司 (依据 参考 文献 [11，166] ) 
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地 址 分 配 如 下 : 
原始 基础 设施 (IS) 块 10.0.0.0/12 00001010 00000000 00000000 00000000 
空闲 的 IS 块 10. 8. 0. 0/13 00001010 00001000 00000000 00000000 
空闲 的 IS 块 10. 4. 0. 0/14 00001010 00000100 00000000 00000000 
北美 IS 块 10. 0. 0. 0/16 00001010 00000000 00000000 00000000 
欧洲 IS 块 10. 1. 0. 0/16 00001010 00000001 00000000 00000000 
亚洲 IS 块 10. 2. 0. 0/16 00001010 00000010 00000000 00000000 
空闲 IS 块 10. 3. 0. 0/16 00001010 00000011 00000000 00000000 


对 于 数据 和 语音 顶层 地 址 分 配 10. 16. 0.0/12 和 10. 32. 0. 0/12 4} 3) RAK We 
辑 ， 可 推演 得 到 如 下 分 配 : 
原始 语音 应 用 的 地 址 块 10. 16. 
空 闪 的 语音 应 用 的 地 址 块 ”10. 24. 
空闲 的 语音 应 用 的 地 址 块 ”10. 20. 
北美 的 语音 应 用 的 地 址 块 10.16. 
欧洲 的 语音 应 用 的 地 址 块 10. 17. 
亚洲 的 语音 应 用 的 地 址 块 ”10. 18. 
空闲 的 语音 应 用 的 地 址 块 ”10. 19. 
原始 数据 应 用 的 地 址 块 10. 32. 
空闲 的 数据 应 用 的 地 址 块 ”10. 40. 
空闲 的 数据 应 用 的 地 址 块 10. 36. 
北美 数据 应 用 的 地 址 块 10. 32. 
欧洲 数据 应 用 的 地 址 块 10. 33. 


0/12 00001010 00010000 00000000 00000000 
0/13 00001010 00011000 00000000 00000000 
0/14 00001010 00010100 00000000 00000000 
0/16 00001010 00010100 00000000 00000000 
0/16 00001010 00010001 00000000 00000000 
0/16 00001010 00010010 00000000 00000000 
0/16 00001010 00010011 00000000 00000000 
0/12 00001010 00100000 00000000 00000000 
0/13 00001010 00101000 00000000 00000000 
0/14 00001010 00100100 00000000 00000000 
0/16 00001010 00100000 00000000 00000000 
0/16 00001010 00100001 00000000 00000000 
亚洲 数据 应 用 的 地 址 块 ，10.34.0.0/16 00001010 00100010 00000000 00000000 
空闲 的 数据 应 用 的 地 址 块 ”10. 35. 0.0/16 00001010 00100011 00000000 00000000 
在 这 个 核心 层次 剩 下 的 唯一 步骤 是 为 核心 路 由 器 自身 分 配 基础 设施 空间 。 毕 竟 核 
心 网 络 是 要 求 一 个 瑟 子 网 地 址 的 一 个 网 络 ， 它 位 于 我 们 的 洲际 间 地 址 分 配 “ 之 上 ”。 
对 于 这 个 子 网 ， 我 们 将 划 出 一 个 /26 子 网 。 这 个 尺寸 的 子 网 提供 62 个 主机 地 址 ， 它 
为 公司 发 展 提供 了 足够 的 容量 。 让 我 们 从 最 小 的 空闲 基础 设施 地 址 块 10. 3. 0. 0/16 中 
分 配 这 个 子 网 。 遵 循 刚 才 应 用 的 类 似 逻 辑 ， 我 们 向 核心 骨干 网 络 分 配 10. 3. 0.0/26 网 
络 。 得 到 可 用 于 未 来 分 配 的 几 个 空闲 地 址 块 : 
原始 IS 地 址 块 10.3.0.0/16 00001010 00000011 00000000 00000000 
空闲 IS 地 址 块 。 10.3.128.0/17 00001010 00000011 10000000 00000000 
空闲 IS 地 址 块 。 10.3.64.0/18 00001010 00000011 01000000 00000000 
空闲 IS 地 址 块 10.3.32.0/19 00001010 00000011 00100000 00000000 
空闲 IS 地 址 块 10.3.16.0/20 00001010 00000011 00010000 00000000 
3 
3 
3 


e088 


空闲 IS 地 址 块 10. 3. 8. 0/21 00001010 00000011 00001000 00000000 
空闲 IS 地 址 块 10. 3. 4. 0/22 00001010 00000011 00000100 00000000 
空闲 IS 地 址 块 10. 3. 2. 0/23 00001010 00000011 00000010 00000000 
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空闲 IS 地 址 块 10. 3. 1. 0/24 00001010 00000011 00000001 00000000 
空闲 IS 地 址 块 10. 3.0.128/25 00001010 00000011 00000000 10000000 
空闲 IS 地 址 块 10. 3. 0. 64/26 00001010 00000011 00000000 01000000 
核心 网 IS 地 址 块 10. 3. 0. 0/26 00001010 00000011 00000000 00000000 


3.1.3 地 址 分 配 第 3 部 分 


既然 在 顶层 依据 应 用 分 配 了 地 址 空间 ， 那 么 在 核心 网 络 层 次 ， 每 个 这 样 的 地 址 分 
配 可 被 进一步 划分 ， 从 而 满足 必要 的 配送 中 心 和 分 支 办 事 处 的 需求 。 本 质 上 ， 这 些 地 
址 分 配 用 作 相 应 区 域内 部 为 给 定 应 用 分 配 的 地 址 块 或 地 址 池 。 这 种 自 顶 向 下 分 配 的 技 
术 可 确保 从 这 些 初始 分 配 的 后 续 分 配 将 可 层次 化 地 逐 层 折 又 汇聚 。 因 此 ， 我 们 的 核心 
路 由 器 可 简单 地 向 其 他 核心 路 由 器 通告 它们 的 /16 分 配 。 同 样 ， 任 何 特定 的 依据 服务 
报 文 的 处 理 措施 也 可 容易 地 进行 配置 。 例 如 ， 如 果 想 以 最 高 优先 级 措施 处 理 语音 
文 ， 那 么 我 们 可 配置 我 们 的 路 由 器 ， 对 于 以 相应 语音 应 用 地 址 空间 [例如 用 于 欧洲 
语音 流量 的 10. 17.0.0/16 (或 用 于 所 有 语音 流量 的 10. 16. 0.0/12)] 的 地 址 为 源 地 址 
的 报 文 提供 这 种 处 理 。 由 此 初始 定义 ， 在 不 影响 这 种 处 理 逻 辑 的 条 件 下 ， 现 在 可 沿 地 
理 的 逻辑 线 逐 步 缩 小 区 域 的 方式 进一步 分 配 。 
让 我 们 深入 研究 北美 数据 的 地 址 空间 10. 32. 0. 0/16 。 从 前 面 图 3-1 给 出 的 位 置 表 
中 ， 看 到 北美 站 点 被 组 织 成 三 个 区 域 : 东部 、 中 部 和 西部 。 我 们 也 希望 为 各 分 部 分 配 
独立 的 地 址 空间 。 假 定 路 由 拓扑 与 这 个 地 理 机 构 是 一 致 的 ， 则 我 们 将 据 此 分 配 地 址 空 
间 。 因 此 , 一 个 WAN (广域网 ) 将 费城 、 堪 萨 斯 城 和 旧金山 的 北美 区 域 各 站 点 与 分 
部 互联 起 来 。 这 个 区 域 型 的 互联 结构 代表 了 一 个 “ 亚 核 心 ”网 络 ， 和 顶层 结构 一 样 ， 
对 此 网 络 施用 类 似 的 分 配 逻 辑 。 
让 我 们 将 10. 32. 0. 0/16 地 址 块 划分 成 四 个 区 域 地 址 块 。 为 了 均匀 地 分 配 ， 需 要 
将 这 个 空间 分 成 四 个 地 址 块 。 所 以 需要 分 配 北 美 数据 的 地 址 空间 中 接 下 来 的 2bit 
(2 =4)， 在 如 下 的 二 进 制 表示 中 突出 显示 为 较 大 字体 的 黑 斜 体 比 特 。 
北美 数据 10.32.0.0/16 00001010 00010000 00000000 00000000 
北美 分 部 数据 10.32.0.0/18 00001010 00010000 00000000 00000000 
北美 东部 数据 10. 32.64. 0/18 00001010 00010000 01000000 00000000 
北美 西部 数据 10. 32. 128. 0/18 00001010 00010000 10000000 00000000 
北美 中 部 数据 10. 32. 192.0/18 00001010 00010000 11000000 00000000 
虽然 这 会 得 到 相等 尺寸 的 分 配 ， 但 我 们 不 必 按 照 2 的 宕 次 进行 分 配 (依据 我 们 所 
说 明 的 情形 ) 。 我 们 刚才 容易 地 将 一 个 较 大 地 址 部 分 分 配给 了 东部 ， 原 因 是 它 包 含 了 
最 多 的 站 点 : 10.32.0.0/17 (RX). 、10.32. 160.0/19 〈 中 部 )8、10. 32. 192. 0/19 
(西部 ) 和 10. 32. 220. 0/19 [分 部 (HQ)]. 
从 这 点 看 来 ， 依 据 寻 址 需要 ， 我 们 可 从 每 个 区 域 的 地 址 空间 中 向 其 相应 的 站 点 分 
配 地 址 。 考 虑 北美 西部 数据 的 地 址 空间 10. 32. 128. 0/18 ， 现 在 可 为 每 个 配送 中 心 和 分 
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支 办 事 处 的 数据 应 用 分 配 空间 。 这 种 分 配 的 最 简单 策略 是 均匀 分 布 ， 例 如 ， 就 像 我们 
在 顶部 分 配 层 次 所 实施 的 方法 一 样 ， 为 每 个 站 点 分 配 相同 尺寸 的 地 址 块 。 但 是 ， 人 们 
需要 考虑 每 个 站 点 的 用 户 数量 和 数据 设备 数量 ,规划 每 个 站 点 的 增长 ， 在 区 域内 部 规 
划 新 的 站 点 ， 同 时 考虑 应 用 联网 的 需求 。 在 IPAM 全 球 公司 的 案例 中 ， 典 型 情况 下 ， 
各 配送 中 心安 置 有 65 名 雇员 ， 还 有 其 他 自动 化 机 器 和 基础 设施 ， 总 共 需 要 IP 地 址 约 
200 ~ 250 个 。 分 支 办 事 处 仅 需要 约 150 ~ 200 个 IP 地址， 包括 有 关 的 笔记 本 计算 机 、 
PDA 以 及 其 他 数据 设备 ， 平 均 为 40 名 雇员 所 用 。 

在 这 样 一 个 场景 中 ， 为 配送 中 心 至 少 分 配 一 个 /23 网 络 (可 提供 510 个 可 用 了 P 地 
址 ) 和 为 分 支 办 事 处 分 配 一 个 /24 网 络 (提供 254 个 IP 地址) 是 合理 的 。 但 是 ， 考 
虑 到 每 个 站 点 相应 的 寻 址 需求 ， 应 该 分 别 对 每 个 站 点 进行 分 析 。 在 我 们 的 情形 中 ， 首 
先 要 为 每 个 配送 中 心 分 配 一 个 /23 网 络 ， 之 后 为 每 个 分 支 办 事 处 分 配 一 个 /24 网 络 。 
如 下 所 示 给 出 这 个 分 配 ， 还 有 源 于 原始 10. 32. 128. 0/18 网 络 的 剩余 空闲 空间 ， 这 可 


用 于 未 来 的 分 配 。 
北美 西部 数据 10. 32. 128.0/18 00001010 00100000 10000000 00000000 
旧金山 站 点 10. 32. 128. 0/23 00001010 00100000 10000000 00000000 
丹佛 站 点 10. 32. 130.0/23 00001010 00100000 10000010 00000000 
温哥华 站 点 10. 32. 132. 0/23 00001010 00100000 10000100 00000000 


菲尼克斯 站 点 10. 32. 134.0/23 00001010 00100000 10000110 00000000 
卡尔 加 里 站 点 10. 32. 136.0/24 00001010 00100000 10001000 00000000 
阿尔 布 开 克 站 点 ”10.32. 137.0/24 00001010 00100000 10001001 00000000 
盐湖 城 站 点 10. 32. 138.0/24 00001010 00100000 10001010 00000000 
博 尔 德 站 点 10. 32. 139.0/24 00001010 00100000 10001011 00000000 
埃 德 蒙 顿 站 点 10. 32. 140.0/24 00001010 00100000 10001100 00000000 
萨克拉门托 站 点 10.32. 141.0/24 00001010 00100009 10001101 00000000 
阿 纳 海 姆 站 点 10. 32. 142.0/24 00001010 00100000 10001110 00000000 


空闲 空间 10. 32. 143.0/24 00001010 00100000 10001111 00000000 
空闲 空间 10. 32. 144.0/20 00001010 00100000 10010000 00000000 
空闲 空间 10. 32. 160.0/19 00001010 00100000 10100000 00000000 


针对 总 部 位 置 ， 我 们 为 每 个 主要 的 公司 分 部 分 配 /22 网 络 。 依 据 联网 部 署 情况 ， 
这 些 分 配 可 进一步 划分 子 网 。 


3.1.4 分 配 均衡 和 跟踪 


随 着 在 地 址 分 配 层次 结构 中 添加 较 多 层次 ， 地 址 的 网 络 部 分 就 会 增长 ， 同 时 就 缩 
减 了 可 指派 给 IP 设备 的 主机 所 用 比特 的 数量 。 前 面 表 中 列 出 的 每 个 站 点 都 有 8 或 9 
个 可 用 主机 比特 ， 分 别 为 每 个 站 点 提供 了 254 或 510 个 独立 的 也 主机 容量 。 结 构 化 
的 分 层 法 使 将 地 址 空间 映射 到 应 用 、 区 域 并 最 终 到 子 网 的 做 法 成 为 可 能 ， 有 助 于 保留 
地 址 汇总 〈 对 应 于 路 由 器 拓扑 和 部 署 ) 。 考 虑 在 每 个 站 点 需要 多 少 个 IP 地 址 容量 ， 并 
将 此 容量 与 期 望 多 少 结构 层次 综合 考虑 ， 这 种 做 法 是 不 错 的 想法 。 
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每 个 子 网 的 独立 IP 地 址 容量 需求 ， 将 有 助 于 您 得 到 端点 的 分 配 尺 寸 。 许 多 组 织 
机 构 计 划 为 每 个 端子 网 在 一 个 /24 分 配 中 分 配 254 台 主 机 (地址 )。 如 果 需 要 可 分 配 
多 个 子 网 。 使 用 这 个 字 节 边界 的 做 法 ， 有 助 于 简化 从 二 进 制 到 十 进 制 转换 的 工作 
(如 上 面 小 节 中 看 到 的 情况 ) ， 但 由 于 地 址 容量 需求 ， 这 种 做 法 对 您 的 组 织 机 构 可 能 
是 行 不 通 的 。 如 果 您 需要 越过 字 节 边界 进行 分 配 ， 则 使 用 一 个 IP 地 址 管理 工具 也 许 
有 助 于 确保 分 配 的 准确 性 〈 在 没有 重要 的 情况 下 ) ， 同 时 保持 了 地 址 的 层次 结构 。 

无 论 您 是 否决 定 使 用 一 个 IP 管理 系统 ， 都 必须 跟踪 记录 地 址 分 配 的 情况 。 为 了 
形象 地 说 明 一 种 简单 的 跟踪 记录 方法 ， 我 们 重 写 了 本 章 开 始 处 给 出 的 表格 ， 该 表格 列 
出 了 IPAM 全 球 公司 的 网 络 位置 ， 它 反映 了 相应 的 地 址 块 分 配 。 在 下 面 给 出 的 图 3-5 
所 示 的 更 新 版 中 ， 在 同一 站 点 列 中 列 出 了 配送 中 心 和 分 支 办 事 处 ， 在 前 边 以 一 种 浅 阴 
影 字 体 列 出 配送 中 心 。 

针对 每 个 区 域 ， 在 每 个 结构 层次 组 成 地 址 池 (供应 ) 的 顶层 结构 地 址 块 是 突出 
显示 的 ， 为 的 是 将 它们 与 子 网 做 出 区 分 。 为 了 使 这 件 事 做 起 来 简单 ， 我 们 遵循 一 种 常 
用 分 配方 法 ， 为 每 个 配送 中 心 分 配 一 个 /23 网络， 为 每 个 分 支 办 事 处 分 配 一 个 /24 网 
络 。 我 们 仅 形象 说 明了 表格 中 给 出 的 一 ~ a a 
和 亚洲 站 点 ， 同 样 适用 于 语音 和 数据 应 

这 种 分 配 形式 的 一 = 
个 位 置 关联 起 来 。 例 如 ， 知 道 10. 0. 79.0/24 是 奥 尔 巴 尼 的 基础 设施 子 网 ， 那 么 人 们 
就 可 推断 10. 16. 79. 0/24 是 VoIP 子 网 ，10. 32. 79. 0/24 是 数据 子 网 。 一 眼 就 可 看 出 ， 
10. X. Y. 0 网 络 的 这 种 字 节 模式 将 应 用 ( 字 节 X) 和 位 置 ( 字 节 了 ) 映射 关联 起 来 。 
在 我 们 的 范例 中 ， 字 节 开 为 0 指 基础 设施 ，16 指 VoIP，32 指数 据 。 在 这 个 范例 中 ， 
ae FAD AANER, 
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图 3-5 IPAM 全 球 公司 的 IP v4 地 址 块 分 配 (部 分 分 配 ) 
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北美 一 一 中 部 | ”堪萨斯 城 





”基础 数据 网 

10. 0. 66.0/23 | 10. 16.66.0/23 | 10. 32. 66. 0/23 

纳 舒 厄 10. 0. 68.0/23 | 10.16.68.0/23 | 10. 32. 68. 0/23 

纽 瓦 克 10. 0.70. 0/23 | 10. 16.70. 0/23 | 10. 32. 70. 0/23 

巴尔 的 摩 10. 0.72.0/23 | 10.16.72.0/23 | 10. 32.72. 0/23 

匹 效 堡 10. 0.74. 0/23 | 10. 16.74. 0/23 | 10. 32. 74. 0/23 

夏 洛 特 10.0.76.0/23 | 10.16.76.0/23 | 10. 32. 76. 0/23 

亚特兰大 10.0.77.0/24 | 10.16.77.0/24 | 10.32. 77. 0/24 

普罗 维 登 斯 10. 0.78.0/24 | 10. 16.78. 0/24 | 10.32.78.0/24 

| 10.0.79.0/24 | 10.16.79.0/24 | 10.32.79.0/24 
10.0. 80.0/24 | 10.16.80.0/24 | 10. 32. 80. 0/24 

eos. 曼哈顿 10.0.81.0/24 | 10.16.81.0/24 | 10. 32. 81. 0/24 
ens | 海洋 城 10. 0. 82.0/24 | 10. 16. 82. 0/24 | 10. 32. 82. 0/24 
雷 斯 顿 10. 0. 83.0/24 | 10. 16.83.0/24 | 10. 32. 83. 0/24 

里 士 满 10. 0. 84.0/24 | 10.16.84.0/24 | 10. 32. 84. 0/24 

查尔斯 顿 10.0. 85.0/24 | 10. 16. 85. 0/24 | 10. 32. 85. 0/24 
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IPAM 全 球 公司 的 IPv4 地 址 块 分 配 〈 部 分 分 配 ) (BE) 


3.1.5 IPAM 全 球 公 司 的 公开 地 址 空间 


现在 让 我 们 看 看 从 ISP 得 到 的 IPAM 全 球 公司 的 公开 地 址 空间 192. 0. 2.0/24。 在 
本 章 后 面 我 们 将 讨论 ISP 用 来 得 到 IP 地 址 空间 的 过 程 。IPAM 全 球 公司 在 费城 总 部 办 
事 处 有 一 条 到 所 选择 ISP 的 因特网 连接 。 虽 然 两 条 不 同 路 由 的 本 地 环 路 提供 一 定 程 度 
的 接 人 元 余 性 ， 但 未 来 计划 要 求 从 另 一 个 地 址 提供 对 多 穴 连接 的 支持 ， 我 们 也 将 在 稍 
后 讨论 这 点 。 目 前 在 /24 网 络 内 部 的 254 个 可 用 公开 IP 地址 ， 将 用 于 寻 址 因特网 (外 
部 ) 可 达 的 主机 (例如 web 和 电子 邮件 服务 器 ) ， 一 个 共享 的 地 址 池 使 内 部 客户 能 够 
访问 因特网 。 安 装 了 一 对 NAT 设备 ， 支 持 负载 均衡 共享 和 地 址 转换 ， 用 于 内 部 客户 
访问 因特网 。 事 实 上 ， 这 个 /24 网 络 将 可 能 需要 划分 子 网 ， 将 因特网 可 达 主 机 和 NAT 
地 址 分 隔 开 来 。 
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3.2 IPv6 地 址 分 配 9 


虽然 IPv6 地 址 的 表示 不 同 于 IPv4 地 址 , 但 从 本 质 上 而 言 ， 分 配 过程 的 工作 原理 
是 相同 的 。 主 要 区 别 在 于 IPv6 十 六 进 制 和 二 进 制 之 间 的 相互 转换 ，IPv4 则 是 十 进 制 
和 二 进 制 之 间 的 相互 转换 。 上 述 针 对 IPv4 的 最 小 可 用 空闲 地 址 块 的 最 优 指派 过 程 ， 
是 最 佳 拟 合 分 配 算法 的 一 个 范例 。 由 于 可 用 地 址 空间 的 巨大 差异 ，IPv6 不 仅 支 持 一 
个 类 似 的 最 佳 拟 合算 法 ， 而 且 支 持 一 个 稀 朴 分 配方 法 。 我 们 也 讨论 一 种 随机 分 配方 
法 ,可 用 来 替换 从 1 开始 逐步 增加 的 简单 子 网 地 址 分 配 法 。 

在 本 节 我 们 使 用 范例 IPv6 网 络 2001: DB8:: /32， 概 要 描述 这 里 所 说 的 每 个 算 
% YER, /32 (或 任何 ) 一 一 尺寸 大 小 的 全 局 单 播 分 配 ， 都 要 求 向 一 个 区 域 因特网 
注册 权威 机 构 (RIR) 提前 认证 申请 ， 我 们 将 在 本 章 后 面 讨论 这 点 ， 像 耻 AM 全 球 公 
司 这 样 的 一 个 组 织 机 构 不 太 可 能 接受 这 样 的 一 种 分 配 。 但 是 ， 最 初 在 我 们 的 范例 中 将 
使 用 这 样 的 一 种 分 配 ， 这 样 使 比特 数 不 会 超出 页 面 ( 即 显示 不 了 )。 后 面 我 们 将 使 用 
一 个 比较 实际 的 /48 范例 分 配 。 对 于 以 /32 或 /48 开始 的 算法 将 是 等 价 的 ， 对 于 /48 网 
络 而 言 ， 仅 是 有 更 多 的 中 间 0 前 缀 比特 而 已 。 


3.2.1 最 佳 拟 合 分 配 


使 用 一 种 最 佳 拟 合 方法 ,我 们 将 遵循 前 面 针 对 IPv4 描述 的 同样 的 基本 按照 比特 
分 配 的 算法 。 在 将 十 六 进 制 转换 为 二 进 制 之 后 ， 就 后 续 的 二 分 法 ， 即 将 地 址 的 下 一 比 
特 用 于 网 络 部 分 的 方法 而 言 ， 这 个 过 程 是 完全 相同 的 。 例 如 ， 下 面 考虑 我 们 的 范例 网 
络 2001: ODB8:; /32。 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 0000… 
假定 ， 我 们 将 从 这 个 空间 分 配 三 个 /40 网 络 。 从 二 进 制 角度 来 看 ， 遵 循 类 似 IPv4 
分 配 范例 的 方法 ， 后续 地 将 地 址 空间 逐步 二 分 到 一 个 /40 大小， 如 下 较 大 黑 斜 体 比 特 
所 示 ， 您 应 该 得 到 如 下 信息 : 
001000000000000100001101101110001000 0000000000000000. . . 
00100000000000010000110110111000 0100 0000000000000000. . 
00100000000000010000110110111000 00100000000000000000. . . 
00100000000000010000110110111000 00010000000000000000. . . 
00100000000000010000110110111000 00001000000000000000. . . 
00100000000000010000110110111000 00000100000000000000. . . 
00100000000000010000110110111000 00000010000000000000. . . 
00100000000000010000110110111000 00000001000000000000. . . 
00100000000000010000110110111000 00000000000000000000. . 


这 里 我 们 已 经 有 两 个 /40 网 络 可 用 (上 面 突出 显示 的 ) ， 并 将 这 两 个 网 络 转换 为 


O 此 处 IPv6 分 配 的 讨论 依据 参考 文献 [172] 。 
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十 六 进 制 ， 则 我 们 得 到 2001: 0DB8: 0100:: /40 和 2001; 0DB8: 0000: /40 (Ep 
2001: DB8:: /40) 。 在 此 分 配 之 后 ， 使 用 最 佳 拟 合 方法 来 分 配 第 三 个 /40 网 络 ， 则 可 
取 下 一 个 最 小 的 可 用 网 络 ， 在 这 种 情形 中 是 一 个 /39 网 络 ， 将 其 分 成 两 个 /40 网 络 : 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 0000 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0011 0000 0000 0000 
通过 取 下 一 个 比特 ， 将 这 个 网 络 二 分 ， 得 到 两 个 /40 网 络 。 我 们 可 选择 一 个 网 络 
加 以 分 配 ， 另 外 一 个 网 络 将 用 于 未 来 的 地 址 指派 。 所 以 我 们 分 配 的 三 个 /40 网 络 是 
2001: DB8:: /40, 2001; DB8: 0100:: /40 和 2001; DB8: 0200:: /40。 另 一 个 /40 
网 络 ， 即 2001; DB8 : 0300/40 可 用 
于 未 来 的 地 址 分 配 。 图 3-6 以 一 种 饼 
图 形式 形象 化 地 说 明了 这 个 连续 的 
二 分 过 程 。 
在 分 配 这 三 个 /40 网 络 之 后 ， 如 
图 3-6 中 突出 显示 的 ， 饼 图 的 剩余 部 
分 可 用 于 (未 来 的 ) 地 址 分 配 。 在 
上 面 列 出 的 连续 二 分 过 程 中 ， 这 些 
可 用 网 络 作 为 顶部 六 项 出 现 ， 还 有 
前 一 个 网 络 2001: DB8: 200:: /39 


整个 饼 图 :2001:DB8::/32 
7.9X1028 IP 地 址 








7200 1:DB8:1000:;/36 
A /5X1027 IP 地 址 
2001:DB8:800::/37 
2.51027 IP 地 址 


未 分 配 的 前 半 部 分 。 2001: DBE:100-/40 eho y 
SEE 
3. 2. 2 RRS RAK 31026 IP 地 址 (每 个 ) 3X1026 IP 地 址 


从 以 前 移 算 法 中 注意 到 ， 通 过 图 3-6 从 一 个 /22 网 络 切 分 由 三 TY40 网 络 的 分 
从 一 个 /32 网 络 分 配 一 个 /40 网 络 的 配 结果 (依据 参考 文献 [11] 和 [166]) 
方法 ， 我 们 递增 地 将 网 络 长 度 扩展 到 第 40bit， 这 和 IPv4 分 配 的 过 程 相同 。 之 后 ， 我 
们 将 一 个 0 或 1 指派 给 第 40bit， 而 将 该 网 络 指派 为 我 们 的 前 两 个 /40 网 络 。 本 质 上 而 
言 ， 以 此 法 处 理 每 个 比特 ， 考 虑 “1” 代 表 空 闲 地 址 块 , “0” 代 表 已 分 配 的 地 址 块 。 
但 是 ， 如 果 我 们 退 一 步 看 ， 将 8 个 子 网 ID 比特 (将 /32 扩展 到 /40) 看 作 一 个 整体 ， 
这 种 做 法 并 不 是 递增 的 二 分 网 络 法 ,观察 到 我 们 实际 上 分 配 了 子 网 ， 做 法 是 在 子 网 
ID 字段 内 部 简单 地 编 址 或 计数 而 已 ， 表 示 为 这 个 表 中 的 突出 显示 黑 斜 体 bito 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 
0000. . . 2001 : DB8 ; :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0001 0000 0000 
0000. . . 2001; DB8 :100; :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0010 0000 0000 
0000. . . 2001 ; DB8 :200 : :/40 
因此 ， 如 果 事 先知 道 原始 的 /32 网 络 将 被 均匀 地 分 割 为 唯一 的 /40 大 小 的 地 址 块 ， 
那么 一 种 比较 简单 的 分 配方 法 将 是 简单 地 递增 子 网 ID 比特 〈 即 每 次 加 1 操作 ) 。 接 下 
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来 /40 网 络 的 分 配 将 使 用 子 网 ID 数值 00000011、00000100、00000101 等 。 在 一 些 网 
络 中 ,分 配 /40 地 址 块 的 这 种 均匀 法 策略 可 能 并 不 适用 ， 所 以 连续 二 分 的 方法 可 能 是 
比较 合适 的 。 
另 一 方面 ， 如 果 您 所 在 的 机 构 是 一 个 本 地 因特网 注册 机 构 (LIR) 或 I SP， 则 一 
种 稀 琉 分 配方 法 也 许 是 有 吸引 力 的 。 稀 疏 分 配方 法 寻求 将 地 址 分 配 分 散 化 ， 采 用 在 地 
址 分 配 之 间 分 配 最 大 空间 的 方法 ， 为 增长 留 下 空间 。 稀 玻 算 法 的 特征 也 是 将 可 用 地 址 
空间 进行 二 分 ， 但 它 并 不 将 这 个 过 程 继续 到 最 小 地 址 尺寸 ， 它 要 求 在 新 的 一 半 地 址 空 
间 的 边缘 分 配 下 一 个 地 址 块 。 这 导致 地 址 分 配 分 散 化 ， 且 不 是 最 优 分 配 的 。 同 样 ， 其 
哲学 依据 是 ， 通 过 在 充足 的 IPv6 空间 各 分 配 之 间 留 下 丰富 的 空间 ， 这 为 所 分 配 网 络 
的 发 展 提供 了 空间 。 考 虑 一 个 范例 ， 从 2001: DB8:: /32 空间 分 配 三 个 /40 网 络 ， 看 
起 来 的 情形 如 下 : 
0010 0000 0000 0001 0000 1101 1011 1000 0000 0000 0000 0000 
0000. . . 2001 ; DB8 : :/40 
0010 0000 0000 0001 0000 1101 1011 1000 1000 0000 0000 0000 
0000. . . 2001 : DB8 :800 ; :/40 
0010 0000 0000 0001 0000 1101 1011 1000 0100 0000 0000 0000 


0000. . . 2001 : DB8 :4000; :/40 

这 些 二 进 制 表示 分 别 转换 为 2001: DB8:: /40, 2001; DB8: 8000:; /40 和 
2001: DB8: 4000:: /40。 这 种 分 配 使 地 址 空间 分 散 化 ， 如 图 3-7 所 示 。 如 果 2001: 
DB8: 8000:: /40 网 络 的 接受 者 要 求 附加 的 地 址 分 配 ， 则 可 分 配 一 个 连续 的 或 邻接 的 
地 址 块 2001: DB8: 8100:: /40。 采 用 稀 玻 方法 时 ， 这 个 地 址 块 将 在 所 分 配 块 的 最 后 
一 块 ， 所 以 它 可 用 的 概率 较 大 。 在 这 样 一 种 情形 中 ， 两 个 连续 地 址 块 的 接受 者 可 将 他 
们 的 地 址 空间 标识 〈 并 通告 ) 为 2001: DB8: 8000:: /39。 注 意 子 网 ID 比特 实际 上 
是 从 左 到 右 计 数 的 ， 而 不 采用 “正常 ”计数 的 常规 从 右 向 左 的 方法 。 

RFC 3531'”) 描述 了 稀疏 分 配方 法 论 。 因 为 人 们 期 望 网 络 分 配 遵循 一 个 多 层 的 分 
配 层 次 结构 ， 所 以 不 同 实 体 进行 连续 分 配 时 ， 可 使 用 几 组 连续 的 网 络 比特 。 例 如 ， 一 
个 因特网 注册 机 构 可 向 一 个 区 域 注 册 机 构 分 配 第 一 层次 的 地 址 宏 块 ， 该 区 域 注册 机 构 
接 下 来 从 那个 空间 向 一 个 服务 提供 商 分 配 地 址 块 ， 该 服务 提供 商 接着 从 那个 子 空间 向 
其 顾客 分 配 地 址 块 ， 顾 客 可 进一步 在 其 各 网 络 间 分 配 地 址 块 。RFC 3531 建议 ， 较 高 
层次 的 地 址 分 配 (例如 各 注册 机 构 的 地 址 分 配 ) 利用 最 左 侧 计 数 或 稀疏 分 配 法 ， 最 
低层 次 的 地 址 分 配 使 用 最 右 侧 或 最 佳 拟 合 分 配 法 ， 处 于 中 间 的 其 他 地 址 分 配 可 使 用 上 
述 任何 一 种 分 配 法 ， 或 甚至 使 用 一 种 从 中 间 开 始 的 分 配方 案 。 对 于 像 IPAM 全 球 公司 
这 样 的 一 个 组 织 机 构 ， 使 用 稀 朴 方法 分 配 洲际 网 络 ， 在 顶层 为 未 来 发 展 留 下 了 空间 。 
注意 虽然 RFC 3531 解决 的 是 IPv6 地 址 分 配 问题 ， 但 也 可 以 这 种 方式 分 配 IPAM 全 球 
公司 的 顶层 IPv4 空间 ， 从 而 将 初始 分 配 分 散 为 基础 设施 的 10. 0.0.0712, VoIP 的 
10. 128. 0. 0/12 和 数据 的 10. 64. 0. 0/12。 


3.2.3 随机 分 配 
随机 分 配方 法 选择 子 网 比特 范围 内 部 的 一 个 随机 数 来 分 配子 网 。 使 用 来 自 一 个 / 
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32 网 络 的 /40 分 配 为 例 ， 将 产生 0 和 2-1 eB aah nies 

(aR 255) 之 间 的 一 个 随机 数 ， 并 在 假定 该 79X10 TP 地址 

数 仍然 可 用 的 情况 下 实施 分 配 。 这 种 方法 SASKI P i 
为 在 所 分 配 实体 间 随 机 分 散 地 址 分 配 提供 
了 一 种 方法 ， 一 般 来 说 ， 对 于 “相同 大 小 ” 
的 地 址 分 配 而 言 ， 效 果 最 好 。 在 不 以 从 
“1” 开 始 连续 地 分 配 有 序 的 地 址 块 和 子 网 
方面 ， 随 机 化 提供 了 “隐私 性 ”的 一 个 层 
面 。 要 小 心 的 是 ， 随 机 分 配 会 使 较 大 型 连 
续 地 址 块 的 识别 (依据 我 们 前 面 的 合并 范 

例 ) 和 为 重新 编 址 目的 而 释放 连续 空间 这 ORR CHT 
两 方面 更 加 困难 。 所 以 在 顶层 地 址 分 配 采 图 3-7 稀疏 分 配 范例 
用 稀疏 分 配 是 有 道理 的 ， 而 在 子 网 分 配 层 (依据 参考 文献 [11，166]) 
次 ， 随 机 或 最 佳 拟 合 方法 是 比较 合适 的 。 


3.2.4 唯一 的 本 地 地 址 空间 


虽然 IPv6 没有 指定 “私有 的 ”地 址 空间 ,但 唯一 本 地 地 址 (ULA) 空间 的 概念 
本 质 上 是 等 价 于 “私有 ”空间 的 。 通 过 使 用 FCOO:: /7 前 级 ,将 Lhbit 设置 为 “1” 
( 即 FDOO:: /8) ， 依 此 表明 本 地 指派 ， 并 指派 一 个 随机 的 40bit 全 局 ID, ABA IPAM 
全 球 公司 就 为 内 部 用 途 构造 了 一 个 /48 网 络 。 在 可 能 支持 区 域 因 特 网 注册 结构 的 因 特 
网 共同 体内 部 ， 为 分 配 全 球 唯一 的 40bit 全 局 ID 存在 某 种 讨论 ， 区 域 因 特 网 注册 机 构 
的 职责 是 分 配 公开 IP 地 址 空间 〈 接 下 来 我 们 将 看 到 是 如 何 分 配 的 ) 。 尽 管 是 全 球 唯一 
BY, DA ULA 为 目的 地 址 的 报 文 也 不 应 该 路 由 到 一 个 组 织 机 构 的 外 部 。 但 是 ， 这 项 规 
定 的 强制 实施 ， 一 般 来 说 由 每 个 组 织 结构 执行 ， 从 而 限制 这 样 的 报 文 越过 它 的 外 部 边 
界 路 由 器 。 







。 2001D88.4000.:/40 
3X10% IP 地 址 





3.3 IPAM 全 球 公 司 的 IPv6 地 址 分 配 


虽然 当 描 述 地 址 分 配 时 ， 出 于 说 明 的 目的 ， 我 们 使 用 了 一 个 /32 网 络 ， 现 在 针对 
IPAM 全 球 公 司 的 范例 ， 让 我 们 使 用 一 个 比较 真实 的 /48 大 小 地 址 块 : 2001: DBE: 
4AF0:: /48。 同 样 ， 虽 然 IPAM 全 球 公司 具有 充足 的 公开 IPv6 空间 ， 出 于 范例 的 目 
的 ， 让 我 们 也 选择 一 个 ULA 网 络 加 以 分 配 : FD01: 273E: 90A:: /48。 将 以 与 IPAM 
全 球 公 司 地 理 结 构 一 致 的 方式 ， 层 次 化 地 分 配 这 些 地 址 块 。 将 和 在 前 面 的 10. X.Y.0 
范例 中 的 做 法 一 样 ， 出 于 模式 一 致 性 和 较 容 易 地 实现 可 视 化 相关 关系 ， 使 用 针对 每 个 
位 置 的 通用 子 网 ID 号 ， 来 分 配 这 些 网 络 。 

在 IPAM 全 球 公 司 的 情况 下 ， 让 我 们 在 核心 网 络 层 使 用 稀疏 分 配 。 从 这 个 分 配 
中 ， 可 进一步 稀 玖 地 分 配 到 我 们 的 各 区 域 ， 之 后 对 于 我 们 的 配送 中 心 和 分 支 办 事 处 使 
用 一 种 最 佳 拟 合 方法 。 虽 然 当 前 在 IPv6 之 上 我 们 仅 运 行 数据 应 用 ,但 仍然 应 该 实施 


第 3 章 Pety 45 





一 种 应 用 层次 的 地 址 分 配 ， 以 便 应 对 应 用 扩展 或 未 来 增长 。 

出 于 简单 性 考虑 ， 我 们 将 在 4bit 边界 上 进行 地 址 分 配 ” 。 如 果 我 们 使 用 第 一 个 4 
子 网 比特 (49 ~52bit) ， 将 有 16 种 可 能 的 分 配 。 因 为 到 目前 为 止 我 们 只 有 一 个 应 用 ， 
所 以 针对 “数据 ”应 用 ， 将 简单 地 分 配 四 个 网 络 ， 使 其 代表 核心 网 络 。 使 用 稀 牙 方 
法 ， 得 到 如 下 地 址 分 配 。 

















核心 分 配 ULA 地 址 分 配 
总 部 2001: DB8: 4AF0:: /52 FDO1; 273E; 90A:; /52 
北美 2001: DB8: 4AFO; 8000:: /52 |FD01: 273E: 90A: 8000:: /52 
欧洲 2001: DB8: 4AFO; 4000:: /52 |FD01: 273E: 90A: 4000:: /52 


2001: DB8: 4AF0: C000:: /52 : 273E; C000: : 


应 用 一 种 类 似 的 方法 ， 使 用 53 ~ 56bit 作为 下 一 层次 分 配 ， 得 到 如 下 子 (KR) 

分 配 。 
次 级 核心 分 配 | 53 ~ S6bit 
北美 
北美 一 一 中 部 | 1000 
北美 一 一 西部 | 0100 
欧洲 一 一 西部 | 0000 
欧洲 一 一 南部 | 1000 
欧洲 一 一 东部 | 0100 : 

在 每 个 这 样 的 /56 地 址 分 配 内 部 ， 可 进一步 为 每 个 配送 中 心 和 分 支 办 事 处 分 配 独 
立 的 /64 子 网 地 址 。 我 们 将 使 用 一 种 最 佳 拟 合 方法 实施 这 种 分 配 ， 并 在 扩展 地 址 分 配 
表格 中 汇总 这 种 分 配 的 一 个 子 集 。 一 般 而 言 ，IPv6 子 网 应 该 采用 /64 网 络 前 缀 进行 分 
配 。 许 多 IPv6 特色 功能 (例如 邻居 发 现 ) 假定 采用 (依赖 于 ) 这 个 前 缀 长 度 。 

对 于 路 由 器 点 到 点 链 路 或 背靠背 链 路 ， 可 指派 一 个 /126 子 网 ， 这 类 似 于 IPv4 中 
提供 两 台 主 机 地 址 的 一 个 /30 网 络 。 但 是 ， 要 小 心 在 IPv6 地 址 的 接口 标识 符 字段 内 部 
“zu”( 全 局 /本 地 ， 第 71bit) AM “g” 个体/ 组， 第 72bit) 这 两 个 比特 的 设置 。 不 正 
确 地 设置 这 些 比特 会 影响 访问 或 利用 它们 的 各 项 应 用 。“w” bit 表明 公司 ID Æ Hh 
IEEE (1) 指派 或 本 地 (0) HRK, “e” bit 表明 该 地 址 是 一 个 单 播 (0) 或 一 个 组 
播 (1) 地 址 。 不 应 该 使 用 /127 地 址 。/128 前 缀 指示 单一 IP 地址 ， 类 似 于 IPv4 中 的 
W325 

让 我 们 将 这 些 IPv6 地 址 分 配 添加 到 IPAM 全 球 公司 的 IP 地 址 表格 ， 如 下 所 示 。 





90A : 














公开 地 址 空间 分 配 
2001: DB8: 4AF0: 8000:: /56|FDO1; 273E; 90A:: /56 

2001; DB8: 4AF0: 8800:: /56 | FD01: 273E; 90A: 8800:: /56 
2001: DB8: 4AF0: 8400:: /56 | FD01: 273E; 90A: 8400:: /56 
2001; DB8: 4AF0: 4000:: /56 | FD01: 273E; 90A; 4000:: /56 
2001: DB8: 4AF0: 4800:: /56 | FD01: 273E: 90A: 4800:: /56 
2001; DB8: 4AF0: 4400:: /56 | FD01: 273E; 90A: 4400:: /56 





























公开 IPv6 地 址 IPv6 ULA 


hr BO NF 
8 














2001 : DB8: 
4AF0::/52 


2001 :273E: 


10. 0. 0.0/12 | 10. 16. 0. 0/12 | 10. 32. 0. 0/12 
90A: :/52 











SS 
PES 
Bal 








O 在 第 9 章 ,我 们 将 讨论 非 4bit 边界 上 进行 地 址 分 配 的 隐 含 意义 ， 将 特别 讨论 对 DNS 的 隐 含 意义 。 
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( 续 ) 
区 
全 区 rs 站 gn VolP 网 数据 网 | 公开 IPv6 地 址 IPv6 ULA 
站 | 域 站 | 点 设施 网 
点 
BE | 北美 | 费城 | 
城 | 分 部 Gun em “ker? 4AF0: :/56 8000 : :/52 
Ae PEHE 2001 ,DB8 :4AF0 :| 2001 ;273E:90A: 
ORS, 10 3.0; 800: :/64 800: :/64 
” 10.0.0.0/22 | 10. 16.0.0722 | 10.32.0.0/22 | “001:DB8: was a 
ie Ara vAr ko 4AF0: :/64 90A: :/64 
行政 
费城 2001 :DB8: 2001 :273E: 
— | 10.0.4.0/22 | 10. 16. 4. 0/22 | 10. 32. 4. 0/22 
4AFO:1::/64 | 90A:1::/64 
财务 
费城 2001:DB8: 2001 :273E; 
10. 0. 8. 0/22 | 10. 16. 8. 0/22 | 10. 32. 8.0/22 
nA 4AF0:2::/64 | 90A:2::/64 
运行 
费城 2001 ; DB8 ; 2001 :273E: 
— | 10. 0. 12. 0/22 |10. 16. 12. 0/22]10. 32. 12. 0/22 
4AFO:3::/64 | 90A:3::/64 
技术 
费城 2001 : DBS; 2001 :273E: 
— | 10. 0. 16. 0/22 |10. 16. 16. 0/22|10. 32. 16. 0/22 
4AF0:4::/64 | 90A:4::/64 
营销 
费城 2001 : DBS; 2001 :273E: 
— | 10. 0. 20. 0/22 |10. 16. 20. 0/22|10. 32. 20. 0/22 
T 4AF0:5::/64 | 90A:5::/64 















2001 : DB8 : 
4AF0: 
8000 : :/56 





2001 :273E: 
90A :8000: :/56 


10. 0. 64. 0/18 |10. 16. 64. 0/18 |10. 32. 64. 0/18 








2001 ; DB8 ; 
4AF0 :8000 ; :/64 








2001 :273E:90A; 
8000 ; :/64 






10. 0. 64. 0/23 |10. 16. 64. 0/23 |10. 32. 64. 0/23 












2001 : DB8; 
4AF0:8001 : :/64 


2001 :273E;90A; 
8001 : :/64 












10. 0. 66. 0/23 |10. 16. 66. 0/23 |10. 32. 66. 0/23 










2001; DB8 ; 
4 AFO :8002 : :/64 


2001 :273E:90A; 
8002 : :/64 





10. 0. 68 










10. 16. 68. 0/23 | 10. 32. 68. 0/23 








2001 : DB8; 
4AF0 :8003 ; :/64 






2001 :273E:90A; 
8003 : :/64 










10. 0. 70. 0/23 |10. 16. 70. 0/23 |10. 32. 70. 0/23 
















10. 0. 72 1 






0. 16. 72 


. 0/23 |10. 32. 72. 0/23 











2001 ; DB8 ; 
4 AFO ;8004 ; :/64 





2001 :273E;90A; 
8004 : :/64 









































第 3 章 IP 地 址 分 配 47 
( 续 ) 
核 区 
心 | 区 站 基础 VoIP 网 数据 网 | 公开 IPv6 地 址 IPv6 ULA 
a 域 | 站 | 点 设施 网 
了 点 
匹 效 2001 ; DB8 : 2001 :273 了 :90A : 
10. 0. 74. 0/23 |10. 16. 74.0/23|10. 32. 74. 0/23 
堡 4AF0 :8005 :/64 8005 : :/64 
夏 洛 2001:DB8 : 2001 :273E :90A : 
10. 0. 76. 0/23 |10. 16. 76. 0/23 |10. 32. 76. 0/23 
特 4AF0 :8006 : :/64 8006 : :/64 
亚 特 2001 ; DB8 ; 2001 :273E:90A: 
10. 0. 77. 0/24 |10. 16. 77. 0/24|10. 32. 77. 0/24 
= 4 AFO :8007 : :/64 8007 : :/64 
普罗 2001 :DB8: 2001 :273E:90A: 
10. 0. 78. 0/24 |10. 16. 78. 0/24|10. 32. 78. 0/24 
维 登 斯 4AF0 :8008 ; :/64 8008 : :/64 
2001 : DB8 : 2001 :273E:90A: 
昆 西 | 10. 0. 79. 0/24 |10. 16. 79. 0/24|10. 32. 79. 0/24 
4AFO :8009 ; :/64 8009 : :/64 
奥 尔 2001:DB8 : 2001 :273E:90A: 
10. 0. 80. 0/24 |10. 16. 80. 0/24|10. 32. 80. 0/24 
巴 尼 4AFO:800A::/64| 800A: :/64 



















海洋 
城 





10. 0. 82. 0/24 |10. 16. 82. 0/24 





10. 0. 81. 0/24 |10. 16. 81. 0/24|10. 32. 81. 0/24 


10. 32. 82. 0/24 
10. 32. 83. 0/24 


10. 0. 84. 0/24 |10. 16. 84. 0/24|10. 32. 84. 0/24 


10. 0. 85. 0/24 |10. 16. 85. 0/24|10. 32. 85. 0/24 


10. 0. 86. 0/24 |10. 16. 86. 0/24 |10. 32. 86. 0/24 


10. 0. 192. 0/18 | 10. 16. 192. 0/18 | 10. 32. 192. 0/18 


10. 0. 192. 0/23 | 10. 16. 192. 0/23 | 10. 32. 192. 0/23 


2001 : DB8 : 
4AFO ;800B; :/64 


2001 ;273E;90A; 
800B: : :/64 


2001 :DB8 : 
4AF0 :800C::/64 


2001 ;273E;90A: 
800C: :/64 


2001 ; DB8 : 
4 AFO :800D : :/64 


2001 ;273E:90A; 
800D: :/64 


2001 :DB8: 
4AFO ;800E; :/64 


2001 ;273E;90A; 
800E; ;/64 


2001 :DB8 : 
4AF0 :800F ; :/64 


2001 ;273E;90A; 
800F : :/64 


2001:DB8 : 
4AF0 :8010 : :/64 


2001 :273 卫 :90A : 
8010: :/64 
















2001 : DBS : 2001 :273E :90A : 
4AF0 :8800 : :/56 8800 : :/56 

2001:DB8 : 2001 :273E :90A; 
4AFO:8800: :/64 8800: :/64 
























和 孟菲斯 


10. 0. 194. 0/23 | 10. 16. 194. 0/23 | 10. 32. 194. 0/23 
















10. 0. 196. 0/23 | 10. 16. 196. 0/23 | 10. 32. 196. 0/23 









10. 0. 198. 0/23 | 10. 16. 198. 0/23 | 10. 32. 198. 0/23 






2001 :273E :90A ; 
8800: :/64 


2001 : DB8 : 
4AFO :8800 : :/64 












2001 :DB8: 
4AFO :8801 ; :/64 


2001 :273E ;90A : 
8801 ; :/64 











2001 : DB8 : 





2001 :273E :90A: 














新 奥 











尔 良 











10. 0. 200. 0/23 | 10. 16. 200. 0/23 | 10. 32. 200. 0/23 















4AFO :8802 ; :/64 8802 : :/64 
2001 ; DB8 : 2001 :273E ;90A : 
4AFO ;8803 ; :/64 8803 : :/64 
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如 果 保 持 这 种 增长 ， 那 么 将 需要 更 多 页 来 记录 这 些 信息 。 如 我 们 提 到 的 IPv4 分 
配 一 样 ， 比 如 匹 茨 堡 使 用 “站 点 号 ”73 (第 三 个 字 节 )， 我们 可 识别 它 的 IPv6 站 点 
号 为 8005， 这 是 第 四 个 冒号 段 。 从 我 们 的 公开 IPv6 地 址 空间 中 ， 将 为 我 们 的 外 部 
(因特网 ) 可 访问 的 服务 器 (例如 DNS、web、 文 件 传 输 和 电子 邮件 服务 器 ) AA 
外 一 个 地 址 分 配 。 使 用 两 种 不 同 的 地 址 空间 分 配方 法 来 分 配 IPv4 空间 : 针对 内 部 分 
配 的 私有 地 址 空间 法 和 针对 外 部 访问 的 公开 地 址 空间 法 。 对 于 IPv6， 分 配 了 公开 地 址 
空间 和 内 部 的 ULA 地 址 空间 ， 还 需要 为 外 部 可 访问 能 力 增 加 一 个 地 址 分 配 。 让 我 们 
分 配 2001: DB8: 4AF0: 2000:: /56 网 络 指派 给 外 部 主机 。 

现在 完成 了 IPAM 全 球 公司 初始 分 配 计划 ， 并 在 表格 中 记录 了 每 个 地 址 分 配 。 让 
我 们 回 过 头 来 ， 讨 论 一 下 公开 IP 地 址 空间 是 如 何 管理 并 分 配给 各 ISP 的 ， 之 后 比较 
详细 地 描述 多 穴 (使 用 多 个 ISP) RAE. 


3.4 因特网 注册 机 构 


为 了 做 到 正确 路 由 和 通信 ， 在 一 个 给 定 网 络 上 ，IP 地 址 必须 是 唯一 的 ” 。 在 全 球 
因特网 上 如 何 确保 这 种 唯一 性 呢 ? 因特网 地 址 分 配 号 码 权 威 机 构 (IANA) 负责 IPv4 
和 IPv6 的 全 球 IP 地 址 空间 分 配 ， 同 时 负责 TCP/IP 内 部 所 用 其 他 参数 的 分 配 (例如 
应 用 端口 号 ) 。 事 实 上 ， 通 过 浏览 www. iana. org， 选 择 号 码 资 源 链接 下 的 “因特网 协 
议 v4 地 址 空间 ” (Internet Protocol v4 Address Space) 或 “IPv6 地 址 空间 ” (IPv6 Ad- 
dress Space) ， 您 可 查看 这 些 顶 层 分 配 (23)。 

从 本 质 上 而 言 ，IANA 是 顶层 地 址 注册 管理 机 构 ， 它 将 地 址 空间 分 配给 区 域 
因特网 注册 机 构 (RIR)。 如 下 面 列 出 的 ，RIR 是 这 样 的 组 织 机 构 ， 它 们 负责 在 其 相 
应 的 全 球 区 域内 部 ， 从 其 对 应 的 地 址 空间 资源 中 (从 IANA 得 到 ) 实施 地 址 空间 
分 配 。 

1) AfriNIC (非洲 网 络 信息 中 心 ) 非洲 区 。 

2) APNIC (亚太 网 络 信 息 中 心 ) 亚洲 /太平 洋 区 。 

3) ARIN (美国 因特网 地 址 注册 机 构 ) 一 一 北美 区 ,包括 波 多 黎 各 和 一 些 加 勒 比 
海岛 屿 。 

4) LACNIC (拉丁 美洲 和 加 勒 比 海 因特网 地 址 注册 机 构 ) 一 一 拉丁 美洲 和 一 些 加 
勒 比 海 岛屿 。 

5) RIPE NCC (Reseaux IP Europeens， 欧 洲 网 络 资讯 中 心 ) 一 一 欧洲 、 中 东 和 
中 亚 。 

RIR 系统 的 目标 如 下 。 

1) 唯一 性 。 为 做 到 全 球 因特网 路 由 ， 每 个 IP 地 址 必须 是 全 球 唯一 的 。 

2) 汇聚 。 地 址 空间 的 层次 化 分 配 ， 保 障 在 因特网 上 IP 流量 的 正确 路 由 。 如 果 没 








O ”就 像 每 种 看 似 权 威 的 论断 一 样 ， 总 是 存在 例外 ! 任意 播 地 址 典型 地 是 指派 给 多 人 台 主机 的 ， 类 似 的 
情况 是 组 播 地 址 是 共享 的 。 此 处 这 个 论断 适用 于 单 播 地 址 。 
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有 汇聚 ， 那 么 路 由 表 会 变 得 零碎 不 堪 ， 最 终 导致 因特网 内 部 的 众多 瓶颈 。 

3) 保护 管理 。 不 仅 对 于 IPv4 空间 而 且 对 于 IPv6 空间 都 一 样 的 是 ， 地 址 空间 需要 
依据 实际 使 用 需求 进行 分 配 。 

4) 注册 。IP 地 址 指派 的 一 个 公开 可 访问 注册 机 制 消 除了 二 义 性 ， 并 会 有 助 于 排 
错 。 这 种 注册 机 制 被 称 为 whois 数据 库 。 如 今 ， 存 在 许多 whois 数据 库 ， 不仅 由 RIR 
运营 维护 ， 而 且 由 LIR/ISP 运营 维护 (针对 它们 的 相应 地 址 空间 运行 这 种 机 制 ) 。 

5) 公平 性 。 非 歧视 的 地 址 分 配 ， 基 于 真实 的 地 址 需求 而 不 是 长 期 的 “计划 ”。 

正如 您 可 能 猜 到 的 ， 我 们 在 本 章 讨 论 的 分 配方 法 类 似 于 如 下 方法 : 向 RIR 分 配 
地 址 块 ， 由 RR 向 国家 或 本 地 因特网 注册 权威 机 构 分 配 ， 接 下 来 由 这 些 机 构 分 配 到 
服务 提供 商 和 端 用 户 的 那些 方法 。RFC 2050 (24) 文档 的 内 容 是 RIR 地 址 分 配 指 南 。 
通用 地 址 分 配 层 次 结构 如 图 3-8 所 示 。 国 家 因特网 注册 机 构 与 本 地 因特网 注册 机 构 相 
i, 但 被 组 织 在 国家 层次 上 。 

回 到 20 世纪 80 年 代 和 90 年 代 早期 , 许多 公司 (图 3-8 中 的 端 用 户 ) 直接 从 一 
个 中 心 式 因特网 网 络 信息 中 心 (NIC) 处 得 到 地 址 空间 。 但 是 ， 在 转换 到 CIDR 寻 址 
结构 的 过 程 中 ,为 了 提供 地 址 分 配 职责 的 进一步 委派 ,插入 了 RIR 和 LIR/ISP 层 。 如 
今 ， 多 数 机 构 都 从 LIR 或 ISP 处 得 到 地 址 空间 。 虽 然 为 了 最 大 化 地 址 效率 ， 建 议 RIR 
使 用 一 致 的 地 址 分 配 策略 ， 但 得 到 这 种 地 址 空间 的 过 程 通常 由 LIR/ISP 所 垄断 (dic- 
tated) ， 各 公司 通常 与 他 们 有 商务 关系 。 











端 用 户 





Æ 3-8 自 顶 向 下 的 卫 地 址 分 配 5241 


当地 址 空间 被 分 配给 一 个 ISP 时 ， 之 后 该 ISP 可 在 因特网 上 通告 该 地 址 空间 。 因 
此 ,插入 LIR/ISP 层 的 这 种 做 法 有 助 于 在 因特网 上 汇聚 路 由 通告 。 由 该 ISP 服务 的 多 
个 顾客 可 被 汇聚 在 因特网 上 的 一 条 路 由 之 中 (进行 通告 ) 。 如 果 商 务 运转 良好 ， 且 
LIR/ISP 需要 更 多 的 地 址 空间 ， 那 么 LIR/ISP 可 从 其 RIR 请 求 更 多 的 空间 。 一 般 来 说 ， 
每 个 RIR 有 其 自己 定义 的 处 理 地 址 请 求 的 过 程 ， 所 以 如 果 要 了 解 细节 ， 您 应 该 咨询 
您 所 在 地 区 的 RIR。 
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3.4.1 RIR 地 址 分 配 


从 一 个 RIR 角度 看 ，RIR 将 空间 分 配给 LIR/ISP， 然 后 LIR/ISP 将 地 址 空间 指派 
给 它们 的 顾客 (客户 )。“ 分 配 ” 这 个 术语 ， 从 技术 角度 看 ， 指 将 一 个 IP 地 址 块 提供 
作为 一 个 地 址 空间 “ 池 ”， 可 从 中 抽取 地 址 指派 给 顾客 (客户 ) 。 之 后 像 IPAM ERR 
公司 这 样 的 顾客 可 使 用 被 指派 的 地 址 空间 ， 从 该 空间 分 配 地 址 块 和 子 网 ， 接 下 来 从 所 
分 配 的 子 网 中 向 各 台 主 机 指派 IP 地址。 这 种 分 配 和 指派 的 过 程 机 制 ， 依 据 的 是 我 们 
在 本 章 中 前 面 有 关 IPAM 全 球 公司 层次 化 分 配 范 例 中 描述 过 的 过 程 。 但 是 ，RIR 将 分 
配 和 指派 作 了 区 分 ， 原 因 是 指派 由 使 用 中 的 地 址 组 成 ， 而 分 配 是 用 于 指派 的 地 址 池 ， 
它 开 始 时 是 没有 使 用 的 ， 但 理论 上 是 随时 间 推 移 从 分 配 中 进行 多 次 指派 ， 使 用 率 得 以 
增加 。 从 技术 角度 看 ，RIR 将 分 配 和 指派 都 看 做 是 在 使 用 中 的 ， 但 却 将 针对 实际 地 址 
利用 率 而 进行 分 配 空 间 的 审计 能 力 ， 作 为 开放 空间 ， 将 其 留 作 需 要 时 处 理 来 自 每 个 
LIR/ISP 的 附加 分 配 请 求 。 

为 了 在 第 一 时 间 得 到 地 址 空间 ，LIR/ISP 必须 展示 说 明 对 直接 地 址 分 配 的 25% 利 
用 率 的 需求 ， 以 及 在 1 年 内 50% 利用 率 的 需求 ” 。 这 项 要 求 适 用 于 得 到 IPv4 空间 的 过 
fe; 如 今 要 得 到 IPv6 空间 ， 要 比较 容易 些 。 如 果 要 请 求 附加 的 地 址 空间 ， IA 
要 通过 展示 LIR/ISP 的 当前 分 配 的 利用 率 ， 来 说 明 附 加 请 求 的 合理 性 。 为 了 保持 跟踪 
LIR/ISP 分 配 ， 各 RIR 要 求 每 个 LIRZISP 都 实现 电子 (自动 ) 更 新 机 制 。 当 LIR/ISP 
指派 地 址 空间 时 ， 该 指派 信息 都 要 使 用 相应 的 电子 (自动 ) 更 新 表 通 知 RIR。 从 理论 
上 说 ， 在 请 求 附加 的 地 址 空间 时 ，RIR 和 LIR/ISP 都 有 共同 的 分 配 信息 ， 据 此 可 确认 
并 批准 利用 率 益 值 。 所 有 RIR 都 允许 以 电子 邮件 方式 传递 特定 模板 格式 的 这 种 信息 ， 
以 此 传递 分 配 信息 。ARIN 称 这 个 过 程 为 共享 的 域名 过 程 或 SWIP。RIR 会 改变 电子 邮 
件 模板 ， 而 且 确 实 这 种 模板 会 偶尔 发 生变 化 ， 所 以 最 好 的 办 法 是 联系 服务 于 您 所 在 地 
理 区 域 的 RIR， 以 便 得 到 您 需要 模板 的 最 新 版 本 。 

为 了 控制 正在 缩减 的 IPv4 地 址 空间 的 分 配 ，RIR 采用 一 种 慢 启动 分 配方 案 ， 使 
LIR/ISP 以 一 个 较 小 的 地 址 分 配 开始 运行 ， 当 它们 的 分 配 满足 规定 时 在 得 到 较 大 的 分 
配 。 在 一 些 情形 中 ,在 LIR/ISP 从 其 空间 向 端 用 户 分 配 地 址 时 ， 他 们 必须 从 RIR 获得 
准许 (同意 ) RIPE, APNIC 和 LACNIC RIR 利用 称 为 指派 窗口 (AW) 的 一 种 结构 
来 控制 需要 RIR 准许 的 地 址 块 尺寸 分 配 ; AfriNIC 使 用 一 种 类 似 的 结构 ， 称 为 亚 分 配 
窗口 (SAW), ARIN 采用 一 个 标准 的 /20 作为 有 效 的 AW。 以 CIDR 表示 法 表示 的 AW 
或 SAW， 加 强 了 边界 条 件 ， 即 在 没有 从 相应 RIR 获取 准许 条 件 下 ， 约束 LIR/ISP 从 
其 地 址 空间 分 配 的 地 址 块 最 大 尺寸 。 

虽然 APNIC 和 LACNIC 以 AW (和 AfriNIC 的 SAW) 作为 在 没有 RIR 准许 条 件 下 
的 最 大 分 配 尺 寸 ， 同 时 RIPE 使 一 个 LIR/ISP 至 多 分 配 其 AW 的 400% 或 至 多 一 个 /20， 
哪个 较 小 分 配 哪个 。 因 此 ， 拥 有 一 个 /22 AW (从 RIPE 得 到 ) 的 一 个 LIR/ISP 至 多 可 





O 注意 ， 随 着 可 用 IPv4 空间 的 快速 消失 ， 分 配 策略 也 在 快速 地 演变 ， 并 变 得 日 益 严 苛 起 来 。 请 联系 
您 的 RIR， 了 解 最 新 的 分 配 策略 。 
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进行 /20 大 小 的 个 体 地 址 分 配 ( 记 住 ， 向 左 移动 1bit 就 会 使 地 址 空间 加 倍 ) ， 而 拥有 
一 个 /21 AW 的 LIRZISP 至 多 可 进行 /19 大 小 的 个 体 地 址 分 配 。AfriNIC、RIPE、LAC- 
NIC 和 APNIC 将 对 于 新 LIR/ISP 的 [S] AW 约束 为 0， 要 求 其 所 有 分 配 都 要 获得 RIR 
准许 。 随 着 时 间 消 逝 ， 当 LIR/ISP 证 明 是 一 个 负责 的 地 址 空间 管理 者 时 ，[S] AW 就 
可 得 以 增加 。 表 3-1 汇总 了 如 今 RIR 采用 的 主要 分 配 策略 。 
表 3-1 RIR 分 配 策略 汇总 
区 域 因特网 注册 处 

















RIR 策略 重点 
AfriNIC (25) APNIC(26) ARIN(27) LACNIC(28) | RIPE NCC(29) 

初始 阶段 的 最 小 Pw 722 /21 /21 

分 配 
IPv4 合理 性 判定 :初步 

阶段 /年 | 25/50% 25/50% 25/50% 25/50% 25/50% 
增加 分 配 的 IPv 网 络 

利用 率 准则 80% 80% 80% 
对 于 大 于 如 下 情况 的 指派 的 AW | /19( 或 对 于 超 | 指派 的 AW 

分 配 ,必须 通知 RIR i Ce We | 2° AX AW 





预期 的 LIR/ISP IPv6 
指派 


增加 分 配 的 IPv6 HD 
0.94 0.94 0.94 
比率 准则 aie | eames | 


为 了 加 强 RIR 系统 的 汇聚 目标 ， 当 LIR/ISP 的 顾客 决定 改变 服务 提供 商 时 ，RIR 
强烈 建议 每 个 LIR/ISP 以 合同 方式 强制 他 们 的 顾客 返回 分 配给 他 们 的 地 址 空间 。 这 个 
目标 的 存在 是 为 了 保持 寻 址 的 层次 结构 ， 这 类 似 于 我 们 在 IPAM 全 球 公司 的 情形 中 描 
述 的 寻 址 层次 结构 。 为 了 形象 地 说 明 这 项 要 求 的 重要 性 ， 考 虑 一 个 IIP， 它 拥有 从 一 
个 RIR 得 到 的 一 个 /20 地 址 分 配 。 该 ISP 将 一 个 /23 分 配给 它 的 一 个 顾客 。 如 果 该 顾 
客 改变 服务 提供 商 ， 并 将 /23 地 址 空间 带 走 ， 那 么 该 /23 将 需要 在 因特网 “骨干 ”上 
汇总 (roll up) 到 新 的 ISP， 而 不 是 原始 的 ISP。 原 始 ISP 现在 将 不 仅 需 要 通告 它 最 早 
接收 到 的 /20 地 址 块 ， 而 且 还 有 其 他 的 /23、 一 个 /22 和 一 个 /21 即 它 所 有 的 地 址 空间 
减 去 离 去 顾客 的 /23。 新 的 ISP 将 需要 通告 它 分 配 得 到 的 地 址 块 ， 加 上 新 顾客 的 /23 。 
这 明显 地 在 双方 的 路 由 表 项 和 全 球 因特网 的 路 由 表 项 中 都 产生 了 增加 ， 挫 败 了 汇聚 的 
目标 。 这 种 “可 携带 的 ”地 址 空间 被 称 为 提供 商 无 关 的 〈PI) ， 对 于 客户 而 言 是 方便 
的 ， 但 对 于 因特网 路 由 而 言 是 没有 效率 的 。 

采用 要 求 将 该 地 址 空间 返回 原始 ISP 的 方法 ， 该 /23 就 被 返回 到 地 址 池 ， 可 用 于 
在 其 他 地 方 的 指派 或 进行 二 次 分 配 ， 客 户 将 需要 以 新 ISP 指派 的 新 地 址 空间 对 他 们 的 
网 络 重新 编 址 。 在 改变 ISP 时 ， 要 求 返 还 地 址 空间 的 做 法 ， 确 保 该 ISP 有 单一 的 汇聚 
路 由 通告 ， 被 称 为 提供 商 汇 聚 (PA) 空间 。 在 分 配 层 次 结构 中 设置 ISP/LIR 层 之 前 


/48 /48 /48 


/32 /32 
/48 /48 
0.94 0.94 
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得 到 IP 地 址 空间 的 一 些 组 织 机 构 ， 拥 有 PI 空间 。 现 在 总 体 而 言 人 们 不 同意 分 配 PI 2s 
间 ， 而 倾向 于 PA 空间 。 


3.4.2 地 址 分 配 效率 


在 IPv6 发 展 的 过 程 中 ， 为 得 到 128bit 大 小 的 地 址 ， 人 们 进行 了 许多 思考 。 虽 然 
IPv4 提供 了 一 个 32bit 的 地 址 字段 ， 它 可 提供 理论 上 最 多 2? 个 地 址 ， 或 42 亿 个 以 上 
的 地 址 ， 在 实际 中 理论 最 大 值 要 远 小 于 42 亿 个 地 址 。 这 是 由 于 地 址 空间 的 层次 化 分 
配 导致 的 ， 该 层次 化 分 配 涉及 多 个 网 络 层次 ， 接 下 来 是 子 网 ， 最 后 才 是 主机 。RFC 
1715 (参考 文献 [30] ) 提供 了 地 址 指派 效率 的 分 析 ， 其 中 建议 使 用 一 个 对 数 尺度 用 
作 分 配 效率 的 度量 ， 定 义 为 五 比率 : 


y- BOR) 
可 用 比特 数 


如 今 在 因特网 上 大 约 有 7.3 亿 台 主机 ， 则 如 今 的 五 比率 0.277。42 亿 个 IP HE 
100% Fil FAK XT NAY H ERAH 0. 301°, ELLA AY WERE RES AY | 

由 于 IPv6 巨大 的 地 址 空间 ，IPv6 指派 效率 的 度量 并 不 是 依据 万 比率 来 计算 的 ; 
其 使 用 一 个 不 同 的 比率 ， 即 HD 比率 6 ， 


_ lg( 被 分 配对 象 数 ) 
lg( 被 分 配对 象 最 大 数量 ) 


在 IPv6 HD 比率 中 被 度量 的 “对 象 ” 是 从 一 个 给 定 尺寸 的 IPv6 前 缀 中 指派 的 
IPv6 站 点 地 址 (/48)。/48 地 址 块 是 那些 由 LIR/ISP 向 每 个 端 用 户 期 望 指派 的 地 址 
块 。 所 以 拥有 一 个 /32 地 址 分 配 的 LIR/ISP， 如 果 已 经 分 配 100 个 /48 地 址 块 ， 那 么 它 
将 具有 的 HD 比率 是 lg (100)/lg(65536) =0. 415, 





3.5 多 穴 接 入 法 和 IP 地 址 空间 


“多 穴 接 人 法 ”这 个 术语 指 一 个 企业 拥有 到 因特网 的 多 条 (> 1) 连接 。 一 个 简 
单 的 架构 如 图 3-9 所 示 。 多 穴 接 入 战术 策略 提供 几 项 优势 。 

1) 链 路 元 余 ， 在 出 现 连接 中 断 时 可 提供 连续 的 因特网 连接 可 用 能 力 。 

2) ISP 元 余 , 在 出 现 一 个 ISP 中 断 时 ， 多 个 ISP 被 用 来 限制 被 影响 面 ( expo- 
sure) o 

3) 在 多 条 连接 上 进行 因特网 流量 的 负载 均衡 。 

4) 策略 和 性 能 优势 ， 可 通过 基于 拥塞 的 流量 路 由 或 基于 需求 而 将 不 同 应 用 的 流 
量 路 由 到 不 同 的 链 路 或 ISP 获得 这 些 优 势 。 

虽然 在 将 多 穴 接 人 法 配置 到 每 个 ISP 的 路 由 器 接口 时 ， 要 求 特 别 谨 慎 ， 但 它 确实 
提供 了 几 项 有 吸引 力 的 优势 。 如 我 们 在 图 3-9 所 示 的 ， 企业 边界 路 由 器 直接 与 它们 相 
应 的 ISP 边界 路 由 器 对 接 ， 参 与 到 一 个 外 部 路 由 协议 (例如 BGP) 之 中 ,通告 到 相应 


O 0.301, ESF lg (2), 是 及 比 率 的 最 大 值 。 
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图 3-9 多 穴 接 人 法 的 架构 


地 址 块 的 可 达 性 (通过 地 址 前 级 ) 。 因 此 ， 连 接 到 ISP X 的 企业 路 由 器 ， 将 通告 由 ISP 
X 提供 给 该 企业 的 地 址 空间 的 可 达 性 。 类 似 地 ， 连 接 到 ISP Y 的 企业 路 由 器 ， 将 通告 
由 ISP Y 提供 给 该 企业 的 地 址 空间 的 可 达 性 。 

这 两 台 企 业 路 由 器 也 通过 企业 IP 网 络 使 用 一 个 内 部 路 由 协议 ， 相 互通 信 。 采 取 
这 种 方式 ， 可 检测 到 一 个 ISP 连接 的 丢失 ,虽然 就 这 点 而 言 也 是 引起 人 们 关注 的 地 
方 。 为 了 形象 地 说 明 这 点 ， 而 不 涉及 所 有 的 路 由 细节 条 件 下 ”>， 下 面 汇总 了 最 常见 的 
多 穴 部 署 选项 、 中 断 影响 以 及 对 IP 地 址 空间 意味 着 什么 。 

1) 情形 1。 两 条 或 多 条 不 同 的 物理 链 路 连接 到 同一 ISP。 这 种 “多 连接 ” 
(multiattached) 结构 提供 了 链 路 元 余 ， 但 没有 提供 ISP TUR. Al 3-9 所 示 ， 将 两 个 
ISP 云 缩 为 单一 云 ， 但 仍然 有 来 自 该 企业 的 两 条 (或 更 多 ) 链 路 。 采 用 一 个 ISP 
时 ， 前 级 X= 前缀 Y， 所 以 从 该 ISP 分 配 的 这 个 公开 地 址 空间 可 被 统一 地 在 所 有 连 
接 上 进行 通告 。 、 

2) 情形 2。 到 一 个 或 多 个 ISP (使 用 提供 商 独立 的 地 址 空间 ) 的 两 条 或 多 条 连 
接 。 回 顾 一 下 ， 在 这 个 场景 中 ，PI 空间 被 直接 分 配给 组 织 机 构 ， 且 独立 于 ISP 联盟 。 
图 3-9 所 示 ， 被 通告 的 前 级 在 两 条 连接 上 也 是 相同 的 ， 虽然 可 将 其 表示 为 前 缀 Z, A 
便 表示 独立 于 ISP 地 址 空间 。 和 在 情形 1 中 一 样 ，PI 空间 可 被 通告 到 所 有 ISP， 并 依 
据 需 要 在 该 机 构 内 实施 分 配 。 

3) 情形 3。 到 两 个 或 多 个 IP 的 两 条 或 多 条 连接 (使 用 来 自 每 个 ISP 的 提供 商 汇 
聚 地 址 空间 ) 。 在 这 种 情形 中 ， 每 个 ISP 将 分 配 地 址 作为 其 服务 的 组 成 部 分 。 图 3-9 
反映 了 这 样 的 场景 。 拥 有 两 个 独立 的 地 址 块 X 和 YY 时， 如 果 到 ISP X 的 链 路 失效 ， 则 
通过 来 自 连接 到 ISP X 的 企业 路 由 器 的 内 部 路 由 协议 更 新 ， 连 接 到 ISP Y 的 企业 路 由 
器 将 检测 到 链 路 失效 。 因 此 ， 现 在 连接 到 ISP Y 的 企业 路 由 器 可 通告 到 前 缀 X 的 可 达 
Eo BAF ISP Y 的 策略 ， 它 也 许 会 传播 也 许 不 会 传播 该 路 由 ， 原 因 是 该 路 由 没有 落 


加 ”请 参考 如 下 RFC 了 解 多 穴 接 入 法 的 路 由 细节 : 226097) | 41167) | 417707) 和 4218 (179) 
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É ISP Y 的 地 址 空间 内 ， 它 只 是 
落 在 ISP X 的 地 址 空间 内 。 

男 一 种 方法 是 从 面向 ISP Y 
的 企业 路 由 器 向 一 个 ISPX 路 由 
器 对 等 端 执行 一 次 间接 的 BGP 
对 等 端 更 新 。 在 这 种 方式 中 ， 
通过 ISP Y 向 ISP X 路 由 器 通知 
到 达 企业 所 属地 址 空间 的 另 一 
条 路 由 。 在 图 3-10 中 给 出 这 两 
种 替代 方法 ， 前 一 种 方法 显示 
为 前 级 X 被 通告 到 ISP Y 的 路 
由 器 ， 后 一 种 方法 被 显示 为 被 通告 到 ISP X 的 路 由 器 。 

在 每 条 ISP 连接 处 的 NAT 网 关 通 常 部 署 时 都 激活 带 有 地 址 池 能 力 ， 依据 ISP 连接 
的 邻近 性 (例如 邻近 前 级 X BRAT Y) 将 一 个 给 定 报 文 的 内 部 私有 地 址 转换 为 一 个 
公开 地 址 。 通 过 禁止 使 用 NAT 网 关 ， 企 业 边 界 路 由 器 策略 应 该 被 实现 为 : 在 内 部 寻 
址 的 主机 间 最 小 化 或 防止 经 过 该 ISP (可 能 是 多 个 ISP) 而 路 由 流量 。 





图 3-10 多 穴 接 入 下 链 路 中 断 的 恢复 


3.6 地址 块 分 配 和 IP 地 址 管理 


在 本 章 ， 我 们 讨论 了 公开 和 私有 IPv4 空间 和 IPv6 空间 的 IP 地 址 块 分 配 技术 。 从 
基本 管理 角度 来 看 ， 就 分 配 的 层次 结构 方面 维护 地 址 分 配 的 一 个 清单 是 至 关 重 要 的 ， 
在 这 个 清单 中 ， 部 署 了 子 网 的 位 置 ， 还 有 任何 其 他 相关 信息 ， 例 如 每 个 子 网 到 其 对 应 
服务 路 由 器 或 交换 机 接口 的 映射 、 在 合适 情况 下 会 有 关联 的 因特网 注册 机 构 的 管理 信 
息 、 问 题 (trouble) 联系 信息 以 及 人 们 关注 的 其 他 信息 。 

负责 地 址 块 分 配 的 许多 组 织 机 构 ， 使 用 表格 或 简单 的 数据 库 应 用 (例如 微软 Ac- 
cess) 保持 这 种 信息 处 于 有 结构 状态 。 虽 然 执 行 地 址 块 分 配 和 二 进 制 算术 运算 ， 不 能 
轻松 地 通过 单一 鼠标 点 击 来 操作 表格 ,但 低层 次 本 机 运行 (underlying homegrown) 的 
Visual Basic 或 perl 代码 ， 可 应 用 在 本 章 讨 论 过 的 退 辑 ,目的 是 实施 最 佳 拟 合 、 稀 玖 
或 随机 地 址 分 配 ， 并 跟踪 记录 得 到 的 分 配 。 当 然 ， 要 准确 地 实施 这 些 操 作 ， 并 管理 地 
址 块 分 配 、 移 动 、 修 改 和 删除 ， 必 须 小 心 谨慎 为 好 。 

保持 IPAM 全 球 公司 地 址 分 配 表 格 最 新 的 方法 是 一 有 分 配 就 更 新 该 表格 ， 从 而 可 
反映 我 们 的 私有 IPv4、 公 开 IPv4 和 IPv6 以 及 ULA IPv6 地 址 分 配 。 这 种 信息 为 下 一 步 
操作 〈 从 相应 子 网 为 每 个 位 置 分 配 独立 的 IP 地 址 ) 提供 了 必要 的 基础 。 既 然 每 个 分 
支 办 事 处 和 配送 中 心 都 有 王子 网 可 向 上 汇聚 到 该 层次 结构 ,那么 就 可 开始 地 址 指派 
过 程 了 。 我 们 将 在 本 书 下 一 部 分 中 描述 自动 化 地 址 指派 的 一 种 方式 ， 即 DHCP， 我 们 
将 在 第 14 章 中 讨论 地 址 指派 的 其 他 多 种 手工 配置 方法 。 





B RRIHET IPv4 和 IPv6 的 动态 主机 配置 协议 (DHCP) 。 在 技术 综述 之 后 ， 
讲述 了 由 DHCP 支持 的 各 项 应 用 ， 最 后 讲述 其 部 署 和 安全 考虑 因素 。 


334% DHCP 


4.1 3|B° 


在 因特网 存在 的 早期 日 子 里 ， 当 主机 数 处 于 数 百 台 量 级 时 ， 将 一 个 P 地 址 指派 
到 一 台 设 备 是 相当 简单 平凡 的 。 简 单 地 说 ， 即 在 每 台 主 机 上 手工 输入 配置 参数 之 一 。 
这 种 使 用 一 个 硬 编码 P 地 址 的 “一 次 即 可 ”或 静态 地 址 指派 过 程 ， 当 然 是 简单 的 ， 
但 它 却 约 束 了 在 不 同 网 络 或 子 网 间 的 主机 移动 性 。 支 持 移动 性 的 做 法 ， 要 求 基于 当前 
位 置 或 网 络 (预期 主机 将 与 其 连接 ) 以 一 个 新 IP 地 址 对 主机 重新 配置 的 烦琐 任务 。 

尽管 如 此 ， 您 将 可 能 有 一 组 静态 地 址 用 于 您 所 在 机 构 网 络 上 不 需要 移动 性 的 设 
备 ， 例 如 路 由 器 、 服 务 器 、 了 P PBX 等 。 在 被 分 配子 网 上 哪些 IP 地 址 是 静态 指派 的 、 
哪些 IP 地 址 指派 到 地 址 池 用 于 动态 指派 以 及 哪些 卫 地 址 是 空闲 的 或 预 留 作为 未 来 使 
用 ， 保 持 跟踪 记录 这 些 信 息 是 必要 的 。 一 项 建议 的 实践 措施 是 维护 一 个 子 网 IP 清单 ， 
维护 在 每 个 子 网 上 被 指派 的 地 址 记录 ， 以 便 最 小 化 重复 IP 地 址 指派 或 产生 错误 的 IP 
地 址 指派 问题 。 仅 需要 确保 静态 地 址 清单 要 与 实际 配置 在 路 由 器 、 服 务 器 或 静态 寻 址 
设备 上 的 地 址 相 匹配 ， 就 可 以 了 。 通 过 各 种 形式 的 发 现 或 ping 大 片 扫描 (sweep) F 
段 ， 实 施 地址 指派 的 周期 性 基线 检查 ， 可 帮助 识别 任何 地 址 指派 的 不 匹配 问题 ， 这 将 
在 第 14 章 中 讨论 。 


4.2 DHCP 综述 


动态 主机 配置 协议 (DHCP) 是 一 个 客户 端 -服务 器 协议 ， 被 连接 到 一 个 IP 网 络 
的 设备 用 来 自动 地 获得 一 个 IP 地 址 。DHCP 是 能 为 IP 网 络 管理 员 节 省 大 量 时 间 的 装 
置 。 它 使 一 台 设 备 能 够 广播 对 一 个 IP 地 址 的 请 求 ， 在 没有 用 户 介入 的 条 件 下 ， 在 该 
IP 网 络 内 部 有 一 台 或 多 台 DHCP 服务 器 服务 这 条 请 求 。 对 于 多 数 端 用 户 设备 (例如 


日 ”本 章 开始 各 节 的 依据 是 参考 文献 [11] 的 第 3 章 。 
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笔记 本 计算 机 、VoIP 电话 、PDA 和 其 他 设备 ) 而 言 ， 在 设备 启动 或 连接 到 一 条 有 线 
网 络 或 无 线 网 络 时 ， 在 没有 用 户 介 和 的 条 件 下 ，DHCP 过 程 在 “后 台 ” 运 行 并 发 挥 作 
用 (transpire), DHCP 也 支持 IP 地 址 的 高 效 使 用 ， 方 法 是 允许 在 动态 分 配 的 地 址 池 
内 ， 在 设备 间 重 用 一 个 IP 地 址 。 一 个 给 定 的 P 地 址 在 一 天 为 一 台 设 备 所 用 ， 在 第 二 
天 可 以 被 另 一 台 不 同 的 设备 所 用 。 

DHCP 是 作为 IPv4 和 IPv6 的 组 成 部 分 得 以 支持 的 。 我 们 将 在 本 章 讨 论 (DHCP 
的 ) IPv4 版 本 ， 在 下 一 章 讨论 (DHCP 的 ) IPv6 版 本 。 当 我 们 在 本 章 中 使 用 “DH- 
CP” 这 个 术语 时 ,我 们 指 的 是 DHCP 的 IPv4 版 本 。DHCP 是 在 RFC 2131” 和 
2132° hse Vi), HEARST RFC? 增 加 了 许多 内 容 ，DHCP 是 构建 在 一 个 较 老 
的 协议 启动 协议 (被 称 作 BOOTP) 的 基础 上 的 。BOOTP 最 初 是 在 RFC 951°) 中 规 
范 下 来 的 ， 提 供 了 地 址 指派 的 自动 化 方法 , 但 受 限于 将 一 个 给 定 卫 地 址 预 指派 到 
一 个 特定 设备 的 做 法 ， 其 中 以 该 设备 的 网 络 接口 (MAC) 地 址 识别 它 的 。 因 此 ， 
一 台 BOOTP 服务 器 配置 有 一 个 MAC 地 址 列表 以 及 对 应 的 IP 地址。 在 不 要 求 每 个 客 
户 端 的 硬件 地 址 的 先 验 知识 条 件 下 ，DHCP 将 这 项 功能 与 将 IP 地 址 指派 到 客户 端的 
增值 能 力 集成 在 一 起 。 实 际 上 ，DHCP 取代 了 BOOTP, 支持 与 BOOTP 客户 端的 后 向 
兼容 ( 互 操作 )。 

DHCP 支持 三 种 类 型 的 卫 地 址 分 配 。 

1) 自动 化 的 地 址 分 配 。DHCP 服务 器 将 一 个 永久 的 IP 地址 指派 给 客户 端 。 

2) 手工 地 址 分 配 。 像 BOOTP 一 样 ，DHCP 服务 器 基于 特定 设备 的 硬件 地 址 ， 指 
派 一 个 “固定 的 ”IP 地 址 。 

3) 动态 地 址 分 配 。DHCP 服务 器 指派 一 个 IP 地 址 是 有 限时 间 段 的 ， 在 该 段 时 间 
之 后 ， 该 地 址 可 被 重新 指派 ， 有 可 能 被 指派 到 另 一 台 不 同 的 设备 。 

对 于 要 求 一 个 永久 IP 地址 指派 的 特定 用 户 和 设备 集合 而 言 ， 通 过 DHCP 的 自动 
地 址 分 配 是 有 用 的 ， 在 这 种 情形 中 ， 对 于 一 个 特定 用 户 或 设备 是 否 要 有 一 个 特定 P 
地 址 ， 是 没有 要 求 的 。 换 句 话说 ， 你 可 预 留 许多 “永久 的 ”地 址 ， 这 些 地 址 没有 直 
接 将 每 个 IP 地 址 与 一 个 特定 的 硬件 地 址 关联 起 来 。 这 种 做 法 是 与 手工 DHCP 形成 鲜 
明 对 比 的 ， 后 者 将 一 个 特定 的 硬件 地 址 与 一 个 对 应 的 IP 地 址 关联 起 来 。 

AY “HA” IP 地 址 ， 通 常情 况 下 ,动态 地 址 分 配 在 DHCP 服务 器 中 设置 地 址 
池 。 在 动态 分 配 情况 下 ，DHCP 服务 器 将 其 IP 地 址 租 给 客户 端 一 个 固定 的 时 间 段 。 
采用 这 种 方式 ，DHCP 服务 器 在 一 个 给 定时 间 段 ( 称 作 租 期 时 间 ) 内 将 一 个 卫 地 址 
指派 给 一 个 特定 的 客户 端 ， 当 由 于 租赁 过 期 或 客户 端 放 弃 地 址 时 ， 这 时 该 中 地 址 就 
是 可 用 的 了 ，DHCP 服务 器 就 会 将 该 地 址 重新 指派 给 一 个 不 同 的 客户 端 。 在 DHCP 服 
务 器 实现 内 部 ， 租 赁 时 间 是 一 个 可 配置 的 参数 。 

AN DHCP 地 址 分 配 类 型 为 何 ， 一 个 DHCP 客户 端 获 取 一 个 地 址 租赁 的 过 程 都 是 
相同 的 。 基 本 过 程 开 始 时 ， 都 是 一 个 DHCP 客户 端 广播 一 条 DHCPDISCOVER 报 文 。 
因为 客户 端 既 没有 一 个 IP 地 址 ， 通 常 也 没有 有 关 IP 网 络 的 任何 信息 ， 所 以 它 将 全 零 





日 ”要 得 到 一 个 完整 列表 ， 请 参见 本 书后 面 的 RFC 索引 。 
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地 址 作为 源 地 址 、 将 广播 (全 1) 地 址 作为 目的 地 址 插入 到 IP 首部 内 部 。 让 我 们 假 
定 一 台 DHCP 服务 器 部 署 在 DHCP 客户 端 所 连接 的 相同 子 网 上 。 在 接收 到 DHCPDIS- 
COVER 报 文 时 ，DHCP 服务 器 将 确定 在 DHCPDISCOVER 接收 到 的 这 个 子 网 上 ， 它 是 
否 有 一 个 地 址 可 用 。 

如 果 在 地 址 池 中 有 一 个 地 址 可 用 ， 那 么 该 DHCP 服务 器 将 向 客户 端 发 送 一 条 DH- 
CPOFFER， 提 供 一 个 IP 地 址 和 关联 的 配置 参数 ( 称 为 选项 (options))。 如 果 有 多 台 
DHCP 服务 器 正在 服务 这 个 子 网 ， 那 么 DHCP 客户 端 可 能 接收 到 一 条 以 上 的 DHCPOF- 
FER。 客 户 端 将 选择 一 个 配置 集合 ， 并 广播 一 条 DHCPREQUEST 报 文 ， 确 定 被 选中 的 
DHCP 服务 器 (客户 端 从 之 接收 到 提供 的 IP 等 参数 ) 。 一 旦 被 选中 的 DHCP 服务 器 将 
地 址 租赁 信息 记录 在 非 易 失 存储 之 中 ， 它 将 以 一 条 DHCPACK 确认 该 条 DHCPRE- 
QUEST， 从 而 将 该 IP 地 址 绑 定 到 DHCP 客户 端 。 这 个 基本 的 消息 流 ， 如 图 4-1 所 示 ， 
有 时 被 称 为 “DORA” 过 程 一 一 发 现 (Discover) 、 提 供 (Offer). WR (Request) 和 
确认 (Ack)。 


DHCPDISCOVER 





DHCPOFFER 








DHCPREQUEST 


DHCP 客户 端 DHCP 服务 器 


DHCPACK 
图 4-1 DHCP“DORA” 过 程 


在 这 个 简单 的 范例 中 ，DHCP 服务 器 驻 留 在 与 DHCP 客户 端 相 同 的 子 网 上 。 客 户 
端 在 该 网 络 上 广播 DHCPDISCOVER 报 文 。 因 为 DHCP 服务 器 驻 留 在 相同 的 网 络 上 ， 
那么 它 接收 到 广播 报 文 ， 并 对 之 进行 处 理 。 因 为 知道 广播 所 发 出 的 网 络 (信息 )， 所 
以 该 DHCP 服务 器 就 可 指派 在 该 网 络 上 一 个 可 用 的 全 地 址 。 但 您 是 否 必须 在 每 个 子 
网 上 都 要 部 署 一 台 DHCP 服务 器 呢 ? 幸运 的 是 ， 不 需要 ; 简单 地 说 , 通过 IP 路 由 基 
础 设施 ， 从 子 网 必须 可 到 达 该 DHCP 服务 器 即 可 。 接 收 到 DHCPDISCOVER 广播 报 文 
的 路 由 器 (可 能 是 多 台 ) 将 不 会 传播 广播 报 文 (新 报 文 )， 因 为 这 将 造成 过 度 的 和 不 
必要 的 下 流量。 相反, 该 路 由 器 将 转发 或 中 继 这 条 广播 报 文 到 目的 DHCP 服务 器 
(可 能 是 多 台 ) 。 被 配置 执行 这 项 中 继 功 能 的 每 台 路 由 器 被 称 作 一 个 中 继 代理 。 每 个 
中 继 代理 必须 以 服务 该 子 网 的 每 台 DHCP 服务 器 的 卫 地 址 进行 配置 。 这 个 配置 参数 ， 
常 被 称 作 DHCP 中 继 地 址 ,使 路 由 器 能 够 接收 DHCPDISCOVER 广播 报 文 ， 查 找 被 配 
置 成 DHCP 中 继 的 DHCP 服务 器 (可 能 是 多 台 ) ， 之 后 将 DHCPDISCOVER 报 文通 过 单 
播 直接 传输 到 每 台 DHCP 服务 器 ， 如 图 4-2 所 示 。 

在 上 述 过 程 中 ,该 路 由 器 修改 DHCPDISCOVER 报 文 ， 将 接收 到 DHCPDISCOVER 
的 那个 接口 的 IP 地 址 插入 到 中 继 代理 (网 关 ) 接口 地 址 字段 。 这 个 参数 使 DHCP 服 
务 器 能 够 识别 请 求 一 个 地 址 指派 的 那个 子 网。 注意 ， 当 网 关 接 口 地 址 (GIAddr) F 
BRAF, DHO 服务 器 会 假定 要 被 指派 IP 地 址 的 子 网 与 接收 到 DHCPDISCOVER 的 
那个 子 网 (通过 直接 广播 接收 到 报 文 ) 是 相同 的 。 
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接口 PP 地址 











10112 
| 局 域 网 局 域 网 
i 
DHCP 服务 器 
10.1.2.5 
DHCPDISCOVER = DHCPDISCOVER z 
广播 单 播 到 10.1.2.5 
GIAddr=0 GIAddr=10.1.1.2 
图 4-2 DHCP pk! 


除了 上 面 列 出 的 四 条 报 文 的 交换 过 程 外 ，IETF 采用 了 RFC 4039, 该 RFC 定义 了 
一 个 快速 提交 选项 ， 即 选项 80。 这 个 选项 是 在 下 一 章 定义 的 DHCPv6 相应 内 容 之 后 才 
形成 的 ， 它 将 消息 传播 需求 分 成 两 部 分 ， 方法 是 作为 对 一 条 DHCPDISCOVER 消息 的 
响应 ， 使 路 由 器 简单 地 发 送 一 条 DHCPACK。 客 户 端 将 在 其 DHCPDISCOVER 消息 中 包 
含 快 速 提交 选项 。 以 一 个 地 址 指派 做 出 响应 的 各 服务 器 将 直接 发 出 一 条 ACK 报 文 ， 
它 也 包含 该 快速 提交 选项 。 对 于 仅 有 有 限 带宽 可 用 的 移动 性 应 用 〈 例 如 蜂窝 (移动) 
电话 ) 而 言 ， 特 别 需要 快速 提交 功能 。 注 意 ， 做 出 响应 的 每 台 服 务 器 将 假定 它 所 指 
派 地 址 是 被 租赁 的 ， 所 以 快速 提交 应 该 被 用 在 短 的 租赁 时 间或 仅 由 有 限 数量 服务 器 支 
F (如 果 正 常情 况 下 ， 有 多 台 服 务 器 服务 该 子 网 ) 的 情况 。 


4.2.1 DHCP 消息 类 型 


我 们 介绍 了 四 种 基本 DHCP 消息 类 型 ， 所 以 让 我 们 在 此 基础 上 进行 扩展 ， 并 浏览 
一 下 DHCP 消息 的 全 集 及 其 相应 含义 。 通 常 我 们 忽略 了 这 些 消息 上 的 “DHCP” 前 
级 ， 且 仅 将 第 一 个 字母 大 写 ， 但 下 面 是 它们 正式 被 定义 的 情况 。 

1) DHCPDISCOVER。 从 客户 端 向 服务 器 发 出 的 ， 用 于 请 求 DHCP 地 址 指派 ; DH- 
CPDISCOVER 会 包括 该 客户 端 要 求 的 参数 或 选项 。 

2) DHCPOFFER。 作 为 对 一 条 DHCPDISCOVER 的 响应 ， 是 从 服务 器 向 客户 端 发 
出 的 ， 向 客户 端 指明 这 是 一 个 IP 地 址 提供 ， 其 中 包括 它 对 应 的 租赁 时 间 (和 其 他 配 
HER). 

3) DHCPREQUEST。 作 为 对 一 条 DHCPOFFER 的 响应 ， 是 从 客户 端 向 一 台 服 务 器 
发 出 的 ， 用 于 接受 或 拒绝 被 提供 的 IP 地址， 其 中 还 包含 期 望 的 参数 设置 或 其 他 参数 
设置 。 期 望 延长 或 重新 请 求 其 现 有 IP 地址 租赁 的 客户 端 也 可 使 用 DHCPREQUEST。 

4) DHCPACK。 是 从 服务 器 向 客户 端 发 出 的 ， 用 于 正面 确认 IP 地 址 租赁 和 关联 和 参 
数 设 置 的 授权 。 从 现在 开始 ， 客 户 端 开始 使 用 该 IP 地 址 和 参数 数值 。 

5) DHCPNAK。 是 从 服务 器 向 客户 端 发 出 的 ， 用 于 负面 地 确认 DHCP 事务 。 该 客 
户 端 必须 释放 使 用 该 PP 地址 ， 如 有 必要 ， 它 需要 重新 发 起 该 过 程 。 

6) DHCPDECLINE。 是 从 客户 端 向 服务 器 发 出 的 ， 用 于 指明 由 服务 器 提供 的 这 个 
IP 地 址 已 经 被 另 一 个 客户 端 所 用 。 那 么 ， 典 型 的 操作 是 ，DHCP 服务 器 将 该 IP 地 址 
标记 为 不 可 用 的 。 

7) DHCPRELEASE。 是 从 客户 端 向 服务 器 发 出 的 ， 将 该 客户 端正 在 释放 IP 地 址 
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的 信息 通知 服务 器 。 之 后 ， 客 户 端 必须 释放 该 IP 地 址 的 使 用 。 

8) DHCPINFORM。 是 从 客户 端 向 服务 器 发 出 的 ， 用 于 从 服务 器 请 求 非 IP 地 址 配 
置 参数 。 服 务 器 将 形成 一 个 DHCPACK 应 答 ， 带 有 合适 的 相关 联 数值 。 

9) DHCPFORCERENEW。 是 从 服务 器 向 客户 端 发 出 的 ， 为 了 使 一 个 客户 端 得 到 
一 个 新 (不同) 的 他 地 址 ， 强 制 该 客户 端 进 入 INIT 状态 ? 。 几 乎 没有 哪 种 客户 端 实 
现 了 对 这 条 消息 的 支持 。 

10) DHCPLEASEQUERY。 是 从 一 个 中 继 代理 或 其 他 设备 向 服务 器 发 出 的 ， 用 于 
向 DHCP 服务 器 询问 一 个 给 定 的 MAC 地 址 、IP 地 址 或 客户 端 -标识 符 等 数值 是 否 有 一 
个 活跃 的 租赁 及 关联 的 租赁 参数 数值 (主要 由 宽带 接 人 集线器 或 边缘 设备 使 用 ) 。 

11) DHCPREALSEUNASSIGNED。 是 从 服务 器 向 一 个 中 继 代 理发 出 的 ， 作 为 对 一 
条 DHCPREASEQUERY 的 响应 ， 通 知 该 中 继 代理 ， 指 明 这 台 服 务 器 支持 那个 地 址 ， 但 
却 没有 活跃 的 租赁 在 用 。 

12) DHCPREASEUNKONWN。 是 从 服务 器 向 一 个 中 继 代 理发 出 的 ， 作 为 对 一 条 
DHCPREALSEQUERY 的 响应 ， 通 知 该 中 继 代理 ， 指 明 这 台 服 务 器 不 知道 在 请 求 中 所 
指定 的 客户 端 。 

13) DHCPREASEACTIVE。 是 从 服务 器 向 一 个 中 继 代理 发 出 的 ， 作 为 对 一 条 DH- 
CPREALSEQUERY 的 响应 ， 其 中 带 有 端点 位 置 和 剩余 的 租赁 时 间 。 

RFC 2131 定义 了 一 些 状态 ， 就 使 用 DHCP 的 地 址 配置 方面 ， 客 户 端 存在 于 这 
些 状 态 之 中 。 定 义 了 如 下 状态 。 

1) INIT。 初 始 化 ， 意 味 着 该 客户 端 既 没 有 一 个 IP 地 址 也 没有 任何 以 前 的 配置 


信息 。 
2) INIT-REBOOT。 虽 然 客 户 端 有 以 前 的 IP 地 址 信息 ， 但 它 开 始 初始 化 ， 期 望 确 
认 其 配置 。 


3) BOUND。 客 户 端 和 服务 器 同意 它们 之 间 的 IP 租赁 协议 。 

4) RENEWING。 客 户 端正 在 尝试 刷新 地 址 租赁 。 

5) REBINDING。 客 户 端的 租赁 超期 时 间 正 在 逼近 ， 它 正在 尝试 刷新 地 址 租赁 。 

6) SELECTING。 中 间 状 态 ， 其 中 客户 端正 在 等 待 并 评估 来 自 DHO 服务 器 (可 
能 多 台 ) 的 多 条 DHCPOFFER 。 

7) REQUESTING。 中 间 状 态 ， 其 中 客户 端 已 选择 一 条 提供 (Offer) ， 并 期 望 接收 
该 条 提供 ， 或 已 经 识别 一 条 提供 ， 指 明 一 个 P 地 址 已 在 使 用 ， 在 这 种 情形 中 它 向 服 
务 器 发 送 一 条 DHCPDECLINE, 

8) REBOOTING。 在 一 次 重启 之 后 ， 客 户 端正 在 尝试 重新 绑 定 。 

简 言 之 ， 刷 新 和 重新 绑 定之 间 的 区 别 在 于 刷新 请 求 的 紧急 程度 和 传输 模式 HH 
重新 绑 定 具 有 较 高 的 紧急 程度 ， 刷 新 是 单 播 的 ， 重 新 绑 定 是 广播 的 。 当 初步 得 到 一 个 
地 址 租赁 时 ， 客 户 端 设 置 两 个 定时 句 : 

1) Tl =50% 的 租赁 时 间 ， 这 是 默认 的 数值 。 


O ” 接 下 来 我 们 将 讨论 DHCP 状态 。 
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2) T2 =87.5% 的 租赁 时 间 ， 这 是 默认 的 数值 。 

通过 在 DHCP 报 文 交换 内 部 在 相应 的 选项 内 指定 的 数值 ， 依 据 DHCP 客户 端 和 服 
务 器 之 间 的 一 致 协议 ， 可 修改 这 些 定时 器 数值 。 在 TI 定时 器 超期 时 ， 客 户 端 进入 刷 
新 状态 ， 并 尝试 刷新 地 址 租赁 ， 方 法 是 向 它 得 到 地 址 租赁 的 DHCP 服务 器 ， 单 播 一 条 
DHCPRENEW 消息 。 如 果 接 收 到 一 条 DHCPACK， 则 客户 端 重新 进入 绑 定 状 态 。 如 果 
接收 到 一 条 DHCPNAK， 则 客户 端 释放 该 IP 地 址 的 使 用 ， 并 进入 INIT 状态 。 在 其 他 
情况 下 ， 即 没有 接收 到 一 个 响应 ， 那 么 客户 端 等 待 T2 定时 器 的 超期 ， 之 后 广播 一 条 
DHCPRENEW ， 尝 试 刷新 地 址 租赁 。 在 原始 服务 器 (地 址 租赁 是 从 这 里 得 到 的 ) F 
且 存 在 一 台 故 障 切 换 DHCP 服务 器 可 刷新 地 址 租赁 时 ， 发 出 广播 请 求 。 

图 4-3 给 出 这 些 DHCP 客户 端 状态 间 的 状态 转换 图 和 对 应 的 状态 转换 机 制 。 注 意 
图 中 没有 包括 DHCPINFORM 消息 ， 原 因 是 这 条 消息 与 非 P 地 址 参数 有 关 。 已 配置 一 
个 人 P 地 址 的 客户 端 发 出 DHCPINFORM 消息 ， 请 求 其 他 参数 设置 ， 服 务 器 以 一 条 DH- 
CPACK 应 答 ， 指 明 被 请 求 的 值 。 


接收 DHCPNAK 
INIT-REBOOT 


发 送 
DHCPREQUEST, 










接收 DHCPNAK 


RE 接收 DHCPNAK 
接收 DHCPNAK DHCPDISCOVER 或 租赁 过 期 





DHCPDECLINE 





选择 接收 
RŽ DHCPREQUEST DHCPOFFER(s) 









接收 DHCPACK 






ae 
DHCPOFFER, 


DHCPACK. 上 一 J 接收 DHCPACK T2 


DHCPNAK/ #3 | 发 送 D 人 
二 TI 过 期 OS 
BIE DHCERERUEST (=a oe 
RENEWING 
[S| 


图 4-3 DHCP 状态 转换 1321 


4.2.2 DHCP 报 文 格式 


让 我 们 仔细 研究 DHCP 报 文 中 的 各 字段 以 及 这 些 字段 是 如 何 与 整个 DHCP 过 程 
相关 的 。 图 4-4 显示 字段 布局 ， 我 们 将 在 该 图 后 面 描述 每 个 字段 。 

DHCP 报 文字 段 描述 : 

(1) 操作 码 。 利 用 BootP 这 个 前 辈 协议 ， 这 个 字段 的 值 是 

1) 1 =BootRequest 

2) 2 = BootReply 





日 一 条 “DHCP 报 文 ”是 在 一 条 IP 报 文 内 部 的 卫 之 上 传输 的 。DHCP“ 应 用 ”使 用 在 本 章 中 讨论 的 
报 文 首部 格式 。 
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Obit 78 15 16 23 24 


操作 码 (op) ”硬件 地 址 类 型 ”硬件 地 址 长 度 
8bit Sbit Sbit 


事务 ID(xid) 
: 32bit 
秒 标志 
lobit l6bit 





图 4-4 DHCP 报 文 的 各 字段 0221 


31 


Bes 
Sbit 


注意 DHCP 消息 类 型 (Discover (ZW), Offer (提供 ) Request (请 求 ) F) 
实际 上 是 在 选项 字段 中 采用 选项 号 码 53 (DHCP 消息 类 型 ) 定义 的 ， 具有 如 下 有 效 


数值 。 


1) 1 = DHCPDISCOVER 

2) 2 = DHCPOFFER 

3) 3 = DHCPREQUEST 

4) 4 = DHCPDECLINE 

5) 5 = DHCPACK 

6) 6 = DHCPNAK 

7) 7 = DHCPRELEASE 

8) 8 = DHCPINFORM 

9) 9 = DHCPFORCERENEW 

10) 10 = DHCPLEASEQUERY 

11) 11 = DHCPLEASEUNASSGNED 
12) 12 = DHCPLEASEUNKNOWN 
13) 13 = DHCPLEASEACTIVE 

(2) 硬件 地 址 类 型 。 硬 件 或 MAC 地 址 的 类 型 ， 例 如 以 太 网 、802 等 。 

(3) 硬件 地 址 长 度 。 定 义 了 以 字 节 为 单位 的 MAC 地 址 长 度 。 

(4) 跳 数 。 由 客户 端 设置 为 零 ， 这 个 字段 可 由 客户 端 和 服务 器 之 间 的 每 台 路 由 器 


做 加 1 处 理 。 
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(5) 事务 ID (xid) 。 由 客户 端 选择 的 一 个 随机 数 ， 目 的 是 将 客户 端 与 服务 器 之 间 
的 消息 和 响应 关联 起 来 。 

(6) 秒 (secs)。 自 客户 端 开 始 获取 一 个 IP 地 址 或 刷新 的 过 程 以 来 ， 消 逝 的 
秒 数 。 

(7) 标志 。 这 个 字段 由 这 样 的 DHCP 客户 端 使 用 ， 直 到 它 的 IP 协议 软件 被 配置 
之 前 ， 它 是 不 能 接受 单 播 IP 报 文 的 。 对 于 这 样 的 情形 ， 客 户 端 将 这 个 字段 中 的 第 一 
个 比特 设置 为 1， 并 将 剩余 比特 都 设置 为 0。 当 设置 为 1 时 ， 服 务 器 (如 果 是 局 域 网 
方式 连接 的 ) 或 中 继 代理 将 向 客户 端 广播 Offer 和 Ack 消息 ; 和 否则， 服务 器 或 中 继 代 
理 将 这 些 消 息 发 送 到 yiaddr 字段 中 指定 的 单 播 地 址 。 这 个 比特 有 时 被 称 为 标志 字段 中 
的 广播 比特 。 

(8) 客户 端 卫 地 址 〈eciaddr) 。 客 户 端 使 用 的 IP 地 址 ， 这 是 当 客户 端 知道 该 地 址 
时 才 使 用 的 ， 例 如 处 于 BOUND, RENEWING 或 REBINDING 状态 时 的 情况 。 

(9) 提供 的 下 地 址 (yiaddr)。DHCP 服务 器 指派 的 一 地 址 ， 将 由 客户 端 使 用 。 

(10) 服务 器 IP 地址 (siaddr)。 用 于 启动 的 “下 一 个 ”服务 器 的 IP 地址， 是 由 
DHCP 服务 器 提供 的 。 

(11) 网 关 接口 地 址 (giaddr)。 接 口 的 全 地 址 ， 是 在 这 个 地 址 上 接收 到 DHCP 广 
播 的 ， 它 由 中 继 代理 发 出 。 

(12) 客户 端 硬件 地 址 (chaddr) 。 客 户 端 提供 的 客户 端的 链 路 层 或 硬件 地 址 。 

(13) 服务 器 名 (sname)。DHCP 服务 器 主机 名 。 

(14) 文件 。 启 动 文 件 名 ， 为 null ( 空 ) 或 完全 符合 格式 的 目录 路 径 名 。 

(15) 选项 。 其 他 了 P 参数 ， 例 如 租赁 时 间 、 域 名 、 缺 省 网 关 和 子 网 掩 码 (要 了 解 
一 个 完整 列表 ， 请 见 下 一 节 ) 。 选 项 字段 的 首 个 四 字 节 总 是 魔术 cookie 数值 (以 十 六 
进 制 表示 ) : 63825363。 这 是 从 RFC 951 的 原始 BootP 规范 中 继承 下 来 的 ， 目 的 是 出 
于 特定 厂商 的 目的 〈 比 如 ) 来 解释 选项 的 一 种 方式 。 


4.3 DHCP 服务 器 和 地 址 指派 


FE DHCP 服务 器 可 被 配置 带 有 多 个 地 址 池 ， 这 些 地 址 池 服 务 于 许多 位 置 的 数 个 
不 同 子 网 。 事 实 上 ， 对 于 一 些 DHCP 服务 器 实现 来 说 ， 出 于 宛 余 性 考虑 ， 可 在 多 台 
DHCP 服务 器 上 配置 相同 的 地 址 池 。 在 第 7 章 将 比较 详细 地 讨论 这 点 内 容 。 在 DHCP 
服务 器 配置 地 址 池 的 所 有 地 址 中 ， 它 跟踪 所 有 IP 地 址 的 状态 。 当 一 个 地 址 租赁 给 一 
个 客户 端 时 ， 一 般 情 况 下 ， 该 服务 器 跟踪 的 不 仅 是 该 P 地 址 的 租赁 时 间 ， 而 且 还 包 
括 租赁 该 IP 地 址 的 客户 端的 一 个 标识 符 。 虽 然 也 可 使 用 客户 端 标识 符 字 段 ， 即 选项 
60， 但 典型 情况 下 ， 这 个 标识 符 是 客户 端的 2 层 (MAC) 地 址 ， 是 通过 chaddr 字段 
得 到 的 。 

建议 在 chaddr 字段 上 使 用 客户 端 标识 符 〈 客 户 端 ID) ， 目 的 是 维护 该 设备 的 一 个 
标识 符 ， 即 使 在 链 路 硬件 被 拆除 并 安装 到 另 一 台 设备 上 时 也 要 使 用 该 标识 符 。 但 在 实 
际 中 ， 多 数 设 备 没 有 提供 一 个 客户 端 ID, BROKE chaddr 字段 的 值 复 制 到 客户 端 ID 
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选项 。 

典型 情况 下 ， 在 提供 一 个 地 址 时 ，DHCP 服务 器 使 用 的 基本 决策 过 程 依 据 如 下 
信息 : 

1) 如 果 客 户 端 有 一 个 租赁 的 地 址 (记录 在 DHCP 服务 器 中 ) ， 则 该 服务 器 将 指派 
这 个 地 址 。 

2) 如 果 客 户 端 以 前 有 这 样 一 个 地 址 ， 现 在 过 期 了 或 被 释放 了 ， 但 仍然 还 是 可 用 
的 ， 则 该 服务 器 将 指派 这 个 地 址 。 

3) 如 果 客 户 端 在 被 请 求 IP 地 址 选项 (选项 50) 中 包含 一 个 地 址 ， 且 该 地 址 是 可 
用 的 ， 则 服务 器 将 指派 这 个 地 址 。 

4) 服务 器 将 从 满足 如 下 条 件 的 子 网 的 一 个 地 址 池 中 指派 一 个 可 用 的 地 址 ， 即 如 
果 GIAddr 字段 为 零 ， 则 该 子 网 为 接收 到 DHCPDISCOVER 广播 的 子 网 ， 如 果 GIAddr 
值 非 零 ， 则 该 子 网 为 由 GIAddr 指明 的 子 网 。 另 一 个 准则 依据 DHCPDISCOVER 报 文 内 
部 各 参数 ， 如 果 有 多 个 地 址 池 服 务 存在 疑问 (不 知道 使 用 哪个 地 址 池 时 ) 的 子 网 ， 
该 准则 可 决定 从 哪个 地 址 池 中 得 到 指派 。 一 般 地 说 ， 这些 参数 被 称 作 客户 端 类 
(class) 参数 ， 接 下 来 将 讨论 该 内 容 。 


4.3.1 依据 类 的 设备 识别 


客户 端 类 参数 为 DHCP 客户 端 向 DHCP 服务 器 提供 附加 信息 提供 了 一 种 方法 ， 同 
时 也 为 DHCP 服务 器 识别 要 求 唯一 IP 地 址 或 参数 指派 的 客户 端 提 供 了 一 种 方法 。 倒 
如 ， 您 也 许 希 望 为 VoIP 设备 专用 一 个 地 址 池 ， 为 数据 设备 专用 一 个 独立 的 地 址 池 。 
这 种 做 法 的 动机 来 源 可 能 是 管理 问题 或 源 路 由 策略 (来 自 相 应 设备 的 语音 报 文 与 数 
据 报 文 的 不 同 策略 ) 。 多 数 DHCP 服务 器 (包括 可 从 因特网 系统 联盟 CISC) 和 微软 
公司 得 到 的 那些 DHCP 服务 器 ) 支持 将 匹配 的 厂商 类 或 用 户 类 的 数值 加 以 指定 的 作 
法 ， 这 样 做 的 目的 是 提供 这 样 的 分 类 处 理 。 在 从 一 个 地 址 池 中 指派 一 个 地 址 时 ， 依据 
准则 ，DHCP 服务 器 可 被 配置 成 关联 厂商 类 或 用 户 类 的 一 个 特定 数值 或 一 组 数值 。 

让 我 们 考虑 一 个 范例 。 回 顾 第 3 章 中 为 I PAM 全 球 公司 分 配 地 址 空间 时 ， 我们 为 
旧金山 的 VoIP 设备 分 配子 网 10. 16. 128.0/23。 许 多 组 织 机 构 在 一 个 位 置 分 配 单一 子 
网 ， 由 于 不 同 设备 在 初始 化 和 配置 要 求 方面 的 不 同 ， 它 为 不 同 的 VoIP 设备 厂商 定义 
两 个 独立 的 地 址 池 。 在 IPAM 全 球 公司 的 情形 中 ， 我 们 将 在 10. 16. 128. 0/23 子 网 内 部 
为 “厂商 X” 的 VoIP 设备 定义 一 个 地 址 池 ， 在 同一 子 网 内 为 “厂商 Y” 的 VP 设备 
定义 一 个 不 同 的 地 址 池 。 那 么 我 们 在 IPAM 全 球 公司 的 DHCP 服务 器 上 为 每 个 地 址 池 
定义 一 个 池 ( 共 两 个 地 址 池 )， 比 如 10. 16. 128. 20 ~ 10.16.128.250 地 址 区 间 和 
10. 16. 129. 20 ~ 10. 16. 129. 250 地 址 区 间 。 出 于 简单 性 考虑 ， 我 们 将 它们 表示 为 相等 
的 尺寸 大 小 ， 但 并 不 要 求 这 样 做 。 在 我 们 的 王子 网 清单 中 ， 无 论 在 一 个 表格 、 数 据 
ER IP 地址 管理 系统 哪 一 种 表示 法 中 ,我们 都 能 够 在 这 些 对 应 的 子 网 内 记录 这 些 地 
址 池 。 我 们 也 应 该 记录 了 静态 地 址 指派 ， 例 如 10.16.128.1 为 一 台 路 由 器 所 用 ， 
10. 16. 128.6 为 一 台 服 务 器 所 用 等 。 

在 图 4-5a 中 ， 我 们 希望 配置 我 们 的 DHCP 服务 器 ， 以 便 在 VoIP 电话 厂商 之 间 做 
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出 区 分 ， 并 从 不 同 地 址 池 指 派 地 址 。 第 一 步 是 确定 在 DHCP 报 文中 的 什么 信息 可 被 用 
于 唯一 地 识别 每 种 设备 类 (如 VoIP 电话 或 笔记 本 计算 机 ) 。 典 型 情况 下 ， 和 您 的 VoIP 
电话 提供 商 将 通知 您 ， 在 厂商 类 标识 符 选项 (选项 60) 中 有 一 个 特定 的 字符 串 ; 让 
我 们 假设 ,虽然 原始 但 足够 可 用 的 假定 这 个 字符 串 是 “vendorX”.( 用 于 识别 厂商 X) 
和 “vendorY”( 用 于 识别 厂商 Y)。 














class“vendor-x”{ 
match if (vendor—class—identifier“vendorX”); 


subnet 10.16.128.0 netmask 255.255.254.0 
pool { 
allow members of“vendor—x”; 
range 10.16.128.20 10.16.128.250; 


allow members of “ven 
ee | 












a) 


‘class‘“vendor-x”"{ 
match if (vendor class idea ax 
option tftp-server—-name sf-tftp. ipamworldwide. com! 


l 
e 
1 


subnet 10. 16. 128. 0 prer 255. 255, 2 o 


| f 
allow members of “vendor—x”; 
range 10.16.128.20 10.16.128.250; 
option routers 10.16.128.1 . 10.16.129.1 








b) 


Al 4-5 使 用 DHCP 配置 客户 端 
a) EH DHO 配置 伪 码 的 客户 端 分 类 范例 (依据 参考 文献 [35 ] ) 
b) 为 DHCP 客户 端 依据 类 指定 附加 的 配置 信息 (依据 参考 文献 [35] ) 


我 们 可 依据 图 4-5a 中 的 范例 ， 在 DHCP 服务 器 中 为 每 个 厂商 定义 一 个 类 ， 但 语 
法 将 取决 于 您 的 DHCP 服务 器 厂商 (aR IPAM 工具 ) 。 在 这 个 范例 中 ,我 们 配置 DHCP 
服务 器 将 发 送 DHCP RX ( 带 有 选项 60 = “vendorX”) 的 设备 分 类 为 vendor-x 类 的 
设备 。 类 似 地 ， 通 过 定义 厂商 类 型 标识 符 选项 ， 依 据 图 4-5a 中 的 match-if (匹配 条 
件 ) 语句 ,使 其 具有 值 “vendorY”， 则 我 们 定义 了 区 分 厂商 了 设备 的 一 个 类 。 另 外 ， 
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可 设置 第 三 种 地 址 池 ， 作 为 不 匹配 其 他 已 定义 客户 端 类 的 各 客户 端的 “默认 ”地 
址 池 。 

既然 我 们 定义 了 我 们 的 两 个 类 ， 这 使 DHCP 服务 器 能 够 将 从 属于 一 个 类 或 男 一 个 
类 的 设备 发 出 的 报 文 加 以 识别 ， 则 现在 我 们 能 够 命令 服务 器 如 何 处 理 这 些 请 求 。 在 对 
应 的 子 网 声明 语句 内 ， 我们 可 定义 两 个 地 址 池 ， 原因 是 我 们 希望 区 分 这 两 个 设备 类 的 
地 址 指派 。 在 我 们 的 10. 16. 128. 0/23 子 网 内 部 ,我 们 将 vendor-x 类 设备 的 一 个 地 址 
池 定 义 为 包含 地 址 10. 16. 128. 20 ~ 10. 16. 128. 2530 ， 将 vendor-y 类 设备 之 子 网 上 的 第 
二 个 地 址 池 定 义 为 包含 地 址 10. 16. 129. 20 ~ 10. 16. 129. 250， 在 图 中 映射 到 类 的 部 分 
加 了 阴影 。 

当 依据 图 4-5a 进行 配置 时 ， 为 了 区 分 设备 类 ， 现 在 DHCP 服务 器 将 检查 来 自 
10. 16. 128. 0/23 子 网 上 设备 的 每 条 DHCPDISCOVER RX, 之 后 为 厂商 X 设备 指派 来 
自 10. 16. 128. 20 ~ 10. 16. 128. 250 地 址 池 的 一 个 地 址 ,为 厂商 Y 设备 指派 来 自 
10. 16. 129. 20 ~ 10. 16. 129. 250 地 址 池 的 一 个 地 址 。 注 意 ， 可 能 存在 您 希望 在 每 条 这 
样 的 地 址 池 声 明 语 句 内 定义 的 其 他 参数 或 选项 设置 ， 以 便 依 据 每 个 类 的 设备 提供 配置 
信息 ， 稍 后 我 们 将 讨论 。 

取决 于 您 部 署 的 DACP 服务 器 的 厂家 ， 会 存在 多 种 菜单 界面 或 文本 文件 编辑 器 和 
准则 ， 以 这 些 工具 来 确定 地 址 指派 逻辑 。 例 如 ， 微 软 的 DHCP 服务 器 可 通过 一 个 
Windows 图 形 用 户 界 面 (GUI) 进行 配置 ， 而 ISC DHCP 服务 器 可 通过 文本 编辑 器 进 
行 配置 。 但 是 ， 除 了 用 户 类 和 厂商 类 外 ， 在 定义 客户 端 类 方面 ，ISC DHCP 提供 了 更 
多 的 灵活 性 ; 在 进行 客户 端 类 处 理 时 ， 可 检查 并 过 滤 报 文中 的 任何 参数 ， 包 括 用 于 
MAC 地 址 过 滤 的 chaddr 字段 或 存在 的 任何 其 他 参数 。 对 于 混合 IC 和 微软 的 环境 ， 
使 用 一 个 中 心 化 的 IPAM 系统 可 有 助 于 抽象 各 厂商 的 独特 界面 ， 并 以 单一 界面 支持 两 
者 的 配置 。 


4.4 DHCP 选项 


客户 端 可 请 求 特 定 选项 的 设置 ， 而 服务 器 可 依据 DHCP 服务 器 配置 指派 这 些 选项 
和 其 他 参数 。DHCP 管理 员 可 定义 要 向 所 有 或 某 些 DHCP 客户 端 指派 的 选项 组 ， 依 据 
的 是 客户 端的 硬件 地 址 、 客 户 端 类 值 或 其 他 DHCP 报 文 参数 。 

如 在 前 一 节 讨 论 的 情况 ， 我 们 为 IPAM 全 球 公司 的 旧金山 办 事 处 依据 厂商 对 应 的 
VoIP 设备 ,设置 两 个 客户 端 类 。 这 些 类 的 设备 将 可 能 要 求 不 同 的 配置 参数 。 例 如 ， 
Cisco VoIP 设备 典型 地 要 求 选 项 码 66 或 150， 而 Avaya VoIP 设备 要 求 选项 172。 我 们 
已 经 描述 过 客户 端 类 如 何 被 用 来 配置 DHCP 服务 器 ， 使 其 区 分 不 同 的 DHCP 客户 端 。 
现在 我 们 为 每 个 地 址 池 关 联 选 项 (可 能 是 多 个 选项 )， 这 些 地 址 池 将 提供 给 各 客户 
端 ， 它们 从 相应 地 址 池 中 接收 地 址 。 这 种 做 法 的 一 个 范例 如 图 4-5b 中 高 层 样 例 配 置 ， 
它 包括 带 有 类 和 地 址 池 语 句 的 选项 声明 ， 来 定义 向 客户 端 提 供 的 其 他 参数 。 另 外 ， 手 
T DHCP 地 址 预 留 的 做 法 ， 支 持 将 一 个 硬件 地 址 映射 到 一 个 特定 的 卫 地 址 ， 也 可 为 
设备 定义 关联 的 DHCP 选项 。 
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K 4-1 列 出 已 定义 的 当前 DHCP 选项 集合 。 
列 给 出 对 应 的 选项 名 称 。 注 意 “Len” 
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“代码 ” 列 指明 选项 码 或 号 , “名 称 ” 
(长 度 ) 列 指 明 在 选项 内 部 长 度 字段 的 数值 。 


选项 总 长 度 是 这 个 数值 加 上 两 个 字 节 ， 其 中 一 个 字 节 是 代码 ， 一 个 字 节 是 长 度 字段 



































































































自身 。 
表 4-1 DHCP 选项 集合 
代码 名 称 aos & x 参考 文献 
0 Mt 填充 0 无 | Rrc 2132!" 
1 子 网 掩 码 4 “IP 地 址 ”格式 中 的 子 网 掩 码 RFC 2132! 
以 s 描述 的 .与 UTC 的 时 间 偏 移 
2 时 间 偏 移 4 (RFC 4833 使 该 值 废弃 不 用 ,该 RFC 中 | RFC 2132! 
规范 了 使 用 选项 100 和 101) 
3 路 由 器 N N/42 路 由 器 (默认 网 关 ) 地 址 RFC 2132! 
4 时 间 服 务 器 N N/4 时 间 服 务 器 地 址 RFC 2132! 
5 名 称 服务 器 N N/4 IEN-116@ 名 称 服务 器 地 址 RFC 2132033] 
6 域名 服务 器 N N/4 DNS 服务 器 地 址 RFC 2132! 
7 日 志 服务 器 N ea rA erga Ce RFC 2132! 
8 配额 (quotes) 服务 器 N N/4“ 当 天 配额 "服务 器 地 址 RFC 2132! 
9 LPR 服务 器 N N/4 线 式 打印 机 服务 器 地 址 RFC 2132'% 
10 影像 (impress) 服务 器 N N/4 图 像 式 影像 服务 器 地 址 RFC 2132133 
11 RLP 服务 器 N N/4 资源 定位 服务 器 地 址 RFC 2132! 
12 主机 名 N 客户 端 主机 名 字符 串 RFC 2132! 
oak 启动 文件 尺寸 2 a: hee RFC 2132133 
= 法 律 依据 导出 在 客户 端 崩 省 时 ,客户 端 应 该 将 其 内 C212 
(Merit dump) 文件 核 映 象 导出 到 的 文件 路 径 名 
15 域名 N 客户 端的 DNS 域名 RFC 2132! 
16 交换 ( Swap) 服务 器 N 交换 服务 器 地 址 RFC 2132! 
19 | eee | 1 | 使 能 /禁止 IP 报 文 转发 RFC 2132!” 
20 源 路 由 开 / 关 N eae PRETAN RFC 2132! 
对 于 指定 非 本 地 源 路 由 的 报 文 ,为 可 
21 策略 过 滤器 N | Behe ae IP 报 文 ,指定 可 接受 的 非 本 地 | RFC 2132'% 
下 一 跳 
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( 续 ) 
Len 
码 X 参 
客户 端 准 备 重组 的 数据 报 最 大 尺寸 ， 
22 最 p} [33] 
大 数据 报 重新 组 装 尺寸 指定 为 一 个 16bit 的 无 符号 整数 RFC 2132 
在 外 发 报 文 的 IP 首部 TTL 字段 中 ， 
23 iA IP TTL 1 (33] 
bi 使 用 的 默认 IP FE TA ee 
依据 RFC 1191, 当 执 行路 径 最 大 传 
输 单元 (MTU ) 发 现时 ,以 s 为 单位 表示 
24 径 MTU 4 [33] 
eee 的 超时 ; MTU 发 现 有 助 于 最 小 化 路 径 | RPC 219? 
上 的 报 文 分 段 
依据 RFC 1191, 当 执 行路 径 最 大 传 
25 路 径 MTU 平稳 状态 表 N 输 单元 (MTU ) 发 现时 ,所 使 用 MTU R | RFC 2132!” 
寸 的 一 个 表 
26 接口 MTU 这 个 设备 接口 所 用 MTU 的 数值 RFC 2132! 
指明 在 客户 端的 网 络 内 部 的 所 有 子 
27 所 有 子 网 都 是 本 地 的 1 网 是 否 使 用 本 地 子 网 ( 客户 端 连接 的 子 | RFC 21321 
网 ) 相 同 的 MTU 
28 广播 地 址 | 4 | “规范 客户 端子 网 所 用 的 广播 下 地 址 | RFC 2132 
F EDRI i Fia 端 是 否 应 该 执行 子 网 掩 码 are 
| 
规范 客户 端 是 否 应 该 对 执行 掩 码 发 
30 1 33 
掩 码 提供 者 现 的 其 他 客户 端 做 出 响应 RFC 2132 
31 路 由 器 发 现 1 RAE RE ENE MTT ele RFC 2132!” 
发 现 
规范 客户 端 应 该 向 其 直接 发 送 路 由 
32 4 33 
路 由 器 请 求 地 址 器 请 求 报 文 的 卫 地 址 RFC 2132 
规范 客户 端 应 该 在 其 路 由 缓存 中 安 
装 的 一 组 静态 路 由 ;列表 为 “目的 地 网 | RFC 21320 
态 
5 ali ` 络 一 一 下 一 跳 路 由 器 ”对 (RFC 3442 @ | RFC 34221] 
义 无 类 静态 路 由 选项 121 后 ,被 废弃 ) 
规范 在 ARP 消息 中 客户 端 是 否 应 该 
34 尾部 (Trailer) 封装 1 尝试 协商 使 用 2 层 帧 尾部 (类 似 首 部 ，| RFC 2132! 
但 位 置 在 帧 净 荷 的 尾 端 ) 
35 ARP 超时 4 ARP 缓存 超时 ,以 s 表示 RFC 2132! 
7 规范 在 一 个 以 太 网 接口 上 客户 端 是 " 
36 以 太 网 封装 应 该 使 用 以 太 网 卫 还 是 IEEE 802.3 RFC 2132 
37 默认 TCP TTL 默认 的 TCP 存活 时 间 数 值 RFC 2132!% 
38 TCR tithes TCP 保持 存活 间隔 ,以 。 为 单位 表示 “| RFC 2132" 
(keepalive ) 时 间 
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( 续 ) 






名 称 参考 文献 












出 于 与 较 老 实现 的 兼容 性 考虑 ,规范 
在 TCP 保持 存活 消息 内 部 ,客户 端 是 否 | RFC 2132! 
应 该 发 送 一 个 字 节 的 “垃圾 ” 


网 络 信息 服务 (NIS ) 域 RFC 2132! 
N/4 网 络 信息 服务 服务 器 地 址 RFC 2132!” 


TCP 保持 存活 垃圾 
( garbage) 


NIS 域 
NIS 服务 器 











NTP 服务 器 





45 


51 


52 


53 


54 


55 


56 


厂商 特定 (信息 ) 


N/4 网 络 时 间 服 务 器 地 址 RFC 2132!” 
厂商 特定 信息 RFC 21321033] 








N/4 NETBIOS 时 间 服 务 器 ( 即 WINS 
NETBIOS RFC 2132! 
atl 服务 器 ) 地 址 
NBDD tg N/4 NETBIOS 数据 报 分 发 (NBDD ) re 
服务 器 地 址 

将 客户 端 指派 为 一 个 特定 的 NET- o 

NETBIOS 节点 类 型 ge RFC 2132 
NETBIOS 范围 为 客户 端 指派 NETBIOS 范围 RFC 2132033] 
X 窗口 字体 服务 器 N/4 窗口 字体 服务 器 地 址 RFC 2132133] 
X 窗口 显示 管理 器 N/4 窗口 显示 管理 器 地 址 RFC 2132033] 
地 址 请 求 wen TR ERM hre 2z 


地 址 时 间 


客户 端 请 求 的 IP 地 址 租赁 时 间 (在 [33] 
Ee oath oe RFC 2132 


指明 “sname” 和 /或 “file”DHCP 首部 


字段 包含 其 他 DHCP 选项 信息 ,如 果 返 








EN [33] 
Baus 回 到 客户 端的 选项 超出 了 消息 中 的 正 | RPC 219? 
常 选项 空间 
DHCP 消息 类 型 , 见 我 们 在 本 章 前 面 
DHCP 消 ; [33] 
MARN 讨论 部 分 (发 现 ,提供 等 ) 
(比如 ) 为 了 在 多 项 提供 间 做 出 区 
emasmu | a | 分 ,为 识别 服务 器 ,在 提供 (Ofer) (以 | goto 


及 请 求 ( Request) 和 可 选 的 ACK, NAK) 
中 提供 的 DHCP 服务 器 识别 








客户 端 所 请 求 参 数 的 DHCP 选项 代 a 
参数 列表 码 号 的 列表 RFC 2132 
包含 一 条 错误 消息 的 文本 ;在 一 条 发 
送 到 客户 端的 Nak 消息 中 可 由 服务 器 
使 用 ,或 在 一 条 拒绝 消息 中 由 客户 端 使 | RFC 21321] 
用 ;例如 ,该 文本 可 被 包含 在 日 志 细 
节 中 


DHCP 错误 消息 文本 


= 
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码 文 献 
7 最 大 DHCP 消息 尺寸 客户 端 希望 接收 的 最 大 DHCP 消息 axe nie 
KE 
从 地 址 指派 时 间 到 客户 端 进入 刷新 
58 新 时 间 (T1 4 32133 
刷新 时 间 (T1) 状态 之 间 的 间隔 RFC 2132 
从 地 址 指派 时 间 到 客户 端 进入 重新 
59 T2 4 33 
重新 绑 定 时 间 (T2) 绑 定 状态 之 间 的 间隔 RFC 2132 
60 厂商 类 标识 符 n | 客户 端 用 来 指派 一 个 厂商 特定 的 标 ee 
识 符 
61 客户 端 ID N 客户 端 标识 符 RFC 2132133 
62 Netware/IP 域 N Netware/IP 域名 RFC 2132! 
63 Netware/IP 选项 N Netware/IP 子 选 项 RFC 2132133 
65 NIS + 服务 器 N NIS + 服务 器 地 址 RFC 2132! 
TFTP 服务 器 名 ; 4 “sname” DHCP 首 
66 TFTP 服务 器 名 N 部 字段 由 其 他 选项 过 载 时 ,可 以 加 以 | RFC 21321 
使 用 
启动 文件 名 ; K “file” DHCP 首部 字 
Ey 5 N RFC 2132! 
局 动 六合 段 由 其 他 选项 过 载 时 ,可 以 加 以 使 用 Nes 
68 家 乡 代 理 N N/4 移动 IP 家 乡 代理 地 址 RFC 2132133 
N/4 简单 邮件 传输 协议 (SMTP) 服务 
SM N 33 
69 TP 服务 器 器 地 址 ,用 于 外 发 电子 邮件 RFC 2132 
N/4 邮箱 协议 (Post Office Protocol ) v3 
70 POP3 服务 器 N (POP3 ) 服务 器 地 址 ,用 于 进入 的 电子 | RFC 2132! 
邮件 检索 
71 NNTP 服务 器 N Cae ae RFC 2132! 
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RFC 2132 






N/4 Finger 服务 器 地 址 ; finger 服务 器 







































73 IRC 服务 器 支持 基于 登录 名 、 登 录 时 长 以 及 其 他 参 | RFC 2132! 
数 来 检索 主机 用 户 信 息 

4 Finger 服务 器 N/4 因特网 中 继 聊 天 (IRC) 服务 器 Re oat 
地 址 

sa N/4 街 谈 服务 器 地 址 ; 街 谈 是 一 项 a 
75 StreetTalk ( #7 iR ) 服务 器 N | Banyan Vines 用 户 和 资源 目录 RFC 2132 
N/4 街 谈 目录 助理 (STDA ) 服务 器 地 
76 STDA 服务 器 址 ; 街 谈 是 一 项 Banyan Vines 用 户 和 资 | RFC 2132 
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〈 续 ) 


Len 


名 称 参考 文献 
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88 


89 


90 


91 


92 





中 继 代理 信息 


因特网 存储 名 服务 (iSNS) 











用 户 类 型 标识 符 RFC 3004038] 


N/4 服务 位 置 协议 (SLP) 目录 代理 
RFC 261003?] 
IP 地 址 (可 能 有 多 个 地 址 ) 
ns 代理 被 配置 使 用 的 SLP 服务 | Ac 26101 


快速 提交 一 一 针对 移动 性 或 额外 负 
担 受 约束 的 应 用 而 言 ,请 求 一 个 两 报 文 
DHCP 事 务 , 而 不 采用 正常 的 四 报 文 
DORA 过 程 


完全 合格 的 域名 (FQDN ) 一 一 定义 
客户 端的 FQDN ,以 及 客户 端 或 DHCP 
服务 器 是 否 应 该 更 新 DNS 


中 继 代理 信息 一 一 由 中 间 的 中 继 代 7 
理 提供 的 其 他 客户 端 信息 RFC 3046 


iSNS 服务 器 地 址 和 iSNS 应 用 信息 RFC 4174! 


用 户 类 型 





(KEE) 
SLP 目录 代理 1 


SLP 服务 范围 










快速 提交 RFC 4039/4) 






客户 端 FQDN RFC 4702!“ 











ioe "| | pose" 
户 端 认 证 并 访问 NDS 目录 库 
NISNI 客户 端 应 该 联系 的 NDS FE AY NDS 树 Reais 
名 称 
客户 端 应 该 使 用 的 NDS 库 内 部 的 
NDS s 
EFE NDS 初始 上 下 文 RFC 2241 
BCMCS RZ (FQDN) 列表, 用 来 构造 
广播 和 组 播 服务 器 接 下 来 的 SRV 查询 (可 能 是 多 条 查询 ) REC Aad 
(BCMCS) 控 制 器 域名 (BCMCS 被 用 于 3G 无 线 网 络 ,使 移动 


手机 能 够 接收 广播 和 组 播 服务 ) 


N/4 BCMCS 控制 器 IP 地 址 (可 能 是 
多 个 地 址 ) (BCMCS 被 用 于 3G 无 线 网 
% ,使 移动 手机 能 够 接收 广播 和 组 播 
服务 ) 

认证 选项 ,依据 DHCP 认证 协议 ,在 
客户 端 和 服务 器 之 间 传 递 认 证 信息 

在 这 次 租赁 期 (依据 一 条 DHCP 租赁 
查询 消息 查询 得 到 的 数值 ) 上 与 该 客户 | RFC 438818] 
端 最近 一 次 事务 以 来 的 秒 数 


依据 一 条 DHCP 租赁 查询 消息 查询 
关联 的 IP 选项 N | 得 到 的 数据 ,与 该 客户 端 关联 的 于 地 | RFC 4388/48) 


址 列表 


BCMCS 控制 器 IPv4 地 址 RFC 4280!*! 








认证 RFC 3118147 
客户 端 最 近 一 次 
事务 时 间 选 项 


N/4 要 联系 的 Novell 目录 服务 
NDS 服务 器 N (NDS) 服 务 器 IP 地 址 ,目的 是 NDS 客 | RFC 2241!4 
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PXE 客户 端 系统 N 


PXE 客户 端 网 络 接口 


PXE 客户 端 机 器 标识 符 N 


用 户 认证 协议 (UAP) 


城市 (civic) 位 置 








未 指派 


Netinfo 地 址 


时 区 N 
时 区 数据 库 N 





Netinfo 标签 
URL 
未 指派 


























PXE 客户 端 系统 架构 类 型 ,每 个 类 型 
都 被 编码 为 16bit 代码 , 例如 Intel 
x86PC、 DEC Alpha, EFI x86-64 等 


PXE 客户 端 网 络 接口 标识 符 , 针 对 接 
口 类 型 接口 主 版 本 号 和 接口 次 版 本 号 
分 别 使 用 不 同 的 字 节 编码 
轻 量 目 录 访 问 协议 服务 器 ;这 个 选项 
由 Apple 计算 机 使 用 ,但 没有 发 布 指导 
性 的 RFC 






RFC 4578 !49! 








RFC 4578/49! 






RFC 3679!“ 


RFC 3679!“ 

带 有 编码 类 型 和 标识 符 数值 的 PXE F 
客户 端 机 器 标识 符 a 
能 够 处 理 认 证 请 求 之 服务 的 位 置 列 
表 (URL) ,是 适应 开放 组 的 UAP 封 | RFC 2485 Eu 
装 的 


服务 器 的 位 置 ,依据 服务 器 提供 的 以 
国家 特定 城市 (例如 邮编 ) 格式 ,最 接 | RFC 4776 ? 
近 客户 端的 网 元 或 者 就 是 客户 端 自身 


依据 IEEE 1003. 1 TZ( POSIX) 编码 
RFC 4833 [2 


参考 一 个 本 地 (客户 端 相关 的 )TZ 数 | Re 48335 
据 库 ,来 查询 时 区 


NetInfo 父 服 务 器 地 址 :虽然 没有 发 布 
指导 性 的 RFC ,但 这 个 选项 由 Apple 计 ince 
算 机 使 用 ;NetInfo 是 用 于 Apple 设备 的 
一 个 分 布 式 数据 库 用 户 和 资源 信息 
NetInfo 父 服务 器 标签 :虽然 没有 发 布 
指导 性 的 RFC ,但 这 个 选项 由 Apple 计 
算 机 使 用 ;NetInfo 是 用 于 Apple 设备 的 
一 个 分 布 式 数据 库 用 户 和 资源 信息 

统一 的 资源 定位 器 ;虽然 没有 发 布 指 
导 性 的 RFC ,但 这 个 选项 由 Apple 计算 | RFC 36791] 
机 使 用 






































RFC 3679[44] 


RFC 3679!) 


指令 客户 端 是 否 自动 配置 一 个 链 路 
本 地 地 址 (69. 254. 0.0/16)。 这 个 选项 
由 DHCP 服务 器 使 用 ,用 来 通知 客户 
端 ,告知 DHCP 服务 器 没有 IP 地 址 可 
指派 ,客户 端 可 以 (或 不 可 ) 进行 自动 
配置 








RFC 2563 53] 
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代码 名 称 a 
(KE) 

117 名 字 服 务 搜索 N 

118 子 网 选择 4 

119 域 搜索 N 

120 SIP 服务 器 N 

121 无 类 静态 路 由 N 





ae xX 


( 续 ) 


参考 文献 





以 优先 级 顺序 列 出 一 个 或 多 个 名 字 
服务 ,客户 端 应 该 用 之 进行 名 字 解 析 : 
DNS NIS NIS + 或 WINS 


确定 一 个 IP FA (hE), A P 
个 客户 端 分 配 一 个 IP 地 址 一 一 覆盖 
GIAddr 设置 或 DHCP 服务 器 接口 (是 
在 该 接口 上 接收 到 一 条 广播 发 现 ( Dis- 
cover) 的 ) 


列 出 一 个 或 多 个 域 ,用 于 客户 端 解析 
器 的 配置 。 如 果 应 用 请 求 一 个 非 FQDN 
主机 名 的 解析 , 则 在 查询 之 前 ,这 些 域 
将 顺序 地 添加 到 主机 名 之 后 。 


一 个 或 多 个 会 话 初始 协议 (SIP) 服 务 
器 FQDN( 可 能 是 多 个 ) 或 SIP 服务 器 


IP 地 址 (可 能 是 多 个 地 址 ) 的 一 个 列 
表 。SIP 是 多 媒体 呼叫 或 会 话 管理 的 一 
个 控制 协议 


规范 确定 客户 端 应 该 在 其 路 由 缓存 
中 安装 的 一 组 静态 路 由 ;按照 “(CIDR 
HEKE). (目的 地 网 络 ) 一 一 下 一 跳 
路 由 器 ”对 的 形式 列 出 。 目 的 地 网 络 部 
分 仅 列 出 有 意义 的 字 节 ,丢弃 本 地 ( 非 
子 网 ) 部 分 ; 例如 172. 16. 0. 0/12 将 被 
编码 为 12. 172. 16, 10.0.0.0/18 被 编 
码 为 18. 10.0.0 








122 


123 


124 


125 


126、 
127 











CableLabs 客户 端 配置 N 


位 置 配置 信息 (LCI) 


识别 厂商 的 厂商 类 N 


识别 厂商 的 厂商 特定 信息 | N 


规范 确定 资源 (例如 准备 服务 器 、 
DHCP 服务 器 等 ) 位 置 以 及 有 线 多 媒体 
终端 适配器 (MTA ) 使 用 的 参数 , MTA 
是 运行 在 一 个 DOCSIS 有 线 网 络 上 的 客 
户 端 设备 ,提供 VoIP 和 有 关 的 多 媒体 
服务 


为 客户 端 提供 它 的 LCI, 包 括 纬度 、 经 
度 、 高 度 以 及 每 个 坐标 的 分 辩 率 

使 之 能 够 规范 多 个 厂商 类 ,每 个 类 都 
是 以 IANA- 指 派 的 企业 号 (EN); 在 支 
持 该 设备 方面 ,这 对 于 识别 硬件 厂商 、 
软件 厂商 应 用 厂商 等 方面 是 有 用 的 








依据 IANA- 指 派 的 EN 识别 得 到 厂 
BS ,根据 厂商 对 DHCP 选项 集合 分 组 


RFC 2937054] 


RFC 3011055] 


RFC 33610571 


RFC 336157) 


RFC 3442/58) 


RFC 349515] 


RFC 3825'° 


RFC 392516! 


RFC 3925! 














RFC 3679!“ 
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( 续 ) 
PXE- 未 定义 (厂商 特定 的 ) RFC 4578/49) 





128 Etherboot( 以 太 网 启动 签名 ) 6 字 节 :E4 :45 :74 :68 :00 :00 
过 载 的 
DOCSIS“ 全 安全 性 ”服务 器 IP 地 址 


( Overloaded ) 
TFTP 服务 器 地 址 (用 于 IP 电话 软件 负载 ) 














129 PXE- 未 定义 (厂商 特定 的 ) RFC 4578!47) 
过 载 的 核心 选项 。 变 长 字符 串 
(Overloaded ) 
呼叫 服务 器 IP 地 址 
130 PXE- 未 定义 (厂商 特定 的 ) RFC 4578[ 
过 载 的 以 太 网 接口 。 变 长 字符 串 
( Overloaded ) 





区 分 字符 串 ( 用 来 识别 厂商 ) 









































131 PXE- 未 定义 (厂商 特定 的 ) RFC 4578/49! 
过 载 的 
( Overloaded ) 远 端 统计 服务 器 IP 地 址 
132 PXE- 未 定义 (厂商 特定 的 ) RFC 45781% 
过 载 的 
( Overloaded ) 802. 1Q VLAN ID 
133 PXE- 未 定义 (厂商 特定 的 ) RFC 4578149] 
过 载 的 
(Overloaded) 802. 1D/p L2 优先 级 
134 PXE- 未 定义 (厂商 特定 的 ) RFC 4578'] 
过 载 的 
( Overloaded ) Diffserv 7 
135 PXE- 未 定义 (厂商 特定 的 ) RFC 4578/49) 
过 载 的 
( Overloaded ) 电话 特定 应 用 的 HTTP 代理 
识别 PANA ( 为 网 络 接 人 携带 认证 信 
息 的 协议 ) 认证 代理 的 一 个 或 多 个 IPv4 
3 NA [62] 
= ee 地 址 ,针对 网 络 接 人 服务 ,由 客户 端 用 | RPC O19? 
于 认证 和 授权 
位 置 到 服务 转换 (LoST) 服务 器 域 
137 LoST 服务 器 N 名 ;LoST 协议 将 服务 标识 符 和 位 置信 | RFC 5223!) 
息 映 射 到 服务 URL 
无 线 接 人 点 的 控制 和 准备 (CAP- 
138 CAPWAP 接 人 控制 器 N WAP) 接 入 控制 器 IP 地址 (可 能 是 多 个 | RFC 54171 


地 址 ) ,客户 端 可 连接 到 这 些 地 址 
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( 续 ) 
Len 
》 参考 文献 
代码 名 称 (长 度 ) 含 义 
139 移动 性 服务 (MoS)IP 地 址 | N 提供 特定 类 型 下 PP802. 21 MoS 服务 | RFC 5678161 
器 的 IPv4 地 址 





IEEE802. 21 MoS 服务 
140 MoS FQDN N 提供 特定 类 型 w RFC 567815] 
器 的 FQDN 


draft-lawrence 
































































sipforum- 
141 SIP 用 户 代理 配置 N 会 话 初始 协议 (SIP) 用 户 代理 配置 useragent- 
config-03. 
txt [179] 
142 ~ 149 未 指派 RFC 3942165] 
150 TFTP 服务 器 地 址 Etherboot( 以 太 网 启动 )GRUB 配置 路 径 名 RFC 5859!175) 
151 ~174 未 指派 RFC 3942166] 
175 以 太 网 启动 (临时 指派 的 一 一 2005 年 6 月 23 日 ) 
176 IP 电话 (临时 指派 的 一 一 2005 年 6 月 23 A) 
177 以 太 网 启动 (临时 指派 的 一 一 2005 年 6 月 23 日) 
178 ~ 207 RFC 3942!66 
208 PXE 魔 数 ( 弃 用 ) F1 :00:74:7E RFC 5071!” 
第 二 阶段 PXE 启动 载 人 的 配置 文件 
209 PXE FC 507119 
配置 文件 名 或 文件 路 径 名 R 71 


ee 
7 PXE 配置 文件 选项 中 指定 文件 名 的 
210 PXE KAA 配置 文件 路 径 前 级 RFC 5071 
如 果 TFTP 服务 器 不 可 达 ,需要 等 竺 
J 4 6 
211 PXE 重启 时 间 Ree 重启 的 秒 数 RFC 5071 


6rd 顾客 边缘 设备 配置 (6rd 是 一 项 服 
212 6rd 
务 提供 商 IPv4-IPv6 技术 一 一 见 第 15 章 ) RFC 5969 


draft- ietfgeopriv- 








3 



















这 个 接 人 网 络 的 位 置信 息 服 务 器 ae. 
213 lisdiscovery- 
(LS) 域名 15. txt[178] 

214 ~219 未 指派 

220 子 网 分 配 选 项 (临时 指派 的 一 一 2005 年 6 月 23 H) 

221 虚拟 子 网 选择 选项 (临时 指派 的 一 一 2005 年 6 月 23 日 ) 
222 ~ 223 未 指派 的 RFC 3942166] 
224 ~254 保留 的 (私有 用 途 ) 


D N/A 表示 法 指使 用 “N” 个 字 节 表示 一 个 或 多 个 IPv4 地 址 ， 每 个 地 址 由 4 个 字 节 组 成 ; 因此 对 于 长 
度 N， 该 字段 将 包含 W4 个 完全 的 IPv4 地 址 。 当 然 这 意味 着 在 数据 类 型 为 耻 地 址 时 ，N 是 4 的 
倍数 。 

@ IEN -16 = 因特网 试验 说 明 16; 随 着 TCP/IP 在 APRANET 上 投入 日 常 使 用 ，IEN 最 终 与 RFC 合并 了 。 
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4.5 动态 地 址 指派 的 其 他 方式 


虽然 DHCP 为 网 络 管理 员 提 供 了 在 许多 子 网 上 预 分 配 动态 地 址 池 的 一 种 方式 ， 并 
提供 一 种 机 制 区 分 不 同 设备 类 型 ， 以 便 执 行 一 个 P 地 址 和 配置 参数 的 区 分 性 指派 ， 
但 还 存在 动态 地 址 指派 的 其 他 方法 (虽然 不 太 常用 ) 。 除 了 地 址 自动 配置 外 ， 一 种 常 
见 的 蔡 代 方法 是 使 用 一 台 Radius 服务 器 来 指派 一 个 IP 地 址 。Radius 或 后 续 协 议 Diam- 
eter， 为 尝试 接 入 一 个 网 络 的 各 IP 主机 提供 一 项 认证 、 授 权 和 计 费 (AAA) 服务 。 当 
客户 端 尝试 接 人 一 台 网 络 边缘 设备 或 拨号 池 时 ， 从 一 个 客户 端 到 一 台 Radius 服务 器 
的 连接 普遍 通过 一 条 点 到 点 (PPP) 或 扩展 的 认证 协议 (EAP) (比如 ) 连接 实现 的 。 
Radius 服务 器 请 (challenge) 客户 端 输 入 一 个 用 户 名 和 口令 ,依据 其 内 部 或 外 部 数据 
库 对 输入 的 信息 进行 认证 ， 最 后 通过 向 客户 端 提供 一 个 IP 地 址 而 提供 到 网 络 的 接 入 。 

虽然 极 大 地 简化 了 Radius 协议 , 但 这 里 的 有 关 概 念 是 某 些 Radius 服务 器 或 甚至 
边缘 路 由 器 设备 ， 可 被 配置 带 有 地 址 池 ， 从 中 可 向 被 授权 的 客户 端 实施 各 IP 地 址 的 
指派 。 在 一 些 情形 中 ，Radius 服务 器 可 被 配置 成 实际 上 利用 DHCP 协议 ， 从 一 台 DH- 
CP 服务 器 得 到 一 个 IP 地 址 。 在 这 种 情形 中 ，Radius 服务 器 作为 一 个 DHCP 代理 客户 
端 ， 代 表 请 求 客户 端 得 到 一 个 IP 地 址 ， 并 将 该 地 址 指派 给 该 请 求 客户 端 。 我 们 将 在 
第 7 章 讨论 一 些 替 代 的 DHCP 服务 器 部 署 策略 ， 我 们 将 部 署 在 边缘 设备 上 的 DHCP 与 
部 署 在 分 散 DHCP 服务 器 上 的 DHCP 进行 比较 。 
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对 于 动态 得 到 IPv6 地 址 的 那些 设备 而 言 ， 有 两 种 主要 策略 可 用 于 自动 化 这 个 地 
址 指派 过 程 : 基于 客户 端的 过 程 或 基于 网 络 服务 器 的 过 程 。 在 第 2 章 ， 我 们 以 地 址 自 
动 分 配 的 形式 介绍 了 基于 客户 端的 地 址 指派 概念 ， 在 该 过 程 中 ， 一 个 客户 端 依据 路 由 
器 通告 确定 它 的 位 置 ， 并 自动 地 计算 它 的 接口 标识 符 ， 以 此 推演 得 到 一 个 P 地 址 。 
但 是 ， 如 果 在 重复 地 址 检测 的 前 提 过 程 中 ， 主 机 确定 它 的 自动 配置 的 地 址 已 被 使 用 ， 
那么 它 必须 重新 推演 得 到 男 一 个 地 址 或 等 待人 工 干预 。 

基于 网 络 服务 器 的 地 址 指派 (例如 DHCP) 使 一 台 主 机 在 从 IP 网 络 中 的 一 台 服 
务 器 处 请 求 一 个 也 地址 (还 有 其 他 参数 ) 过 程 中 ， 宣 告 它 的 存在 。 用 于 IPv6 地 址 的 
DHCP 被 称 作 DHCPv6 ， 并 在 RFC 3315 中 定义 。 依 据 定义 ，DHCPv6 并 不 与 用 于 IPv4 
的 DHCP 集成 在 一 起 。 这 意味 着 DHCPv6 仅 支 持 IPv6 地 址 和 配置 ， 而 不 附加 地 支持 
IPv4 地 址 和 参数 。 这 留待 未 来 的 开发 进行 定义 ， 如 果 未 来 需求 紧迫 的 话 。 


5.1 DHCP 比较 : DHCPv4 #1 DHCPv6° 
与 DHCPv4 相 比较 而 言 ，DHCPv6 使 用 不 同 的 消息 类 型 和 报 文 格式 ， 但 在 许多 方 


面 是 类 似 的 。 表 5-1 突出 显示 了 这 些 相似 点 和 差异 。 
表 5-1 DHCPv4 和 DHCPv6 的 比较 


特征 DHCPv4 DHCPv6 
初始 客户 端 消息 的 目的 地 IP 组 播 到 链 路 范围 地 址 :所 有 DH- 
地 址 Be cial CP 代理 地 址 (FF02: :1:2) 


如 为 “支持 ”, 则 在 每 个 中 继 代 理 
如 为 “支持 ”, 则 在 每 个 中 继 | 中 配置 DHCP 服务 器 地 址 ,或 使 用 





lla 中 配置 DHCP 服务 器 地 址 All_DHCP_Servers 站 点 范围 的 组 播 
地 址 (FF05::1:3) 

相同 的 消息 类 型 码 ,但 插入 在 发 送 到 DHCP 服务 器 的 RE- 

中 继 代理 转发 giaddr, 并 将 之 单 播 到 DHCP 服 | LAY-FORW 和 来 自 服 务 器 的 RE- 


务 器 (可 能 是 多 台 ) LAY-REPL 中 封装 客户 端 消息 


发 送 到 定位 服务 器 的 消息 , 目 
与 客户 端 有 关 的 服务 器 消息 ADVERTISE 


O 本 章 的 开始 几 节 依据 参考 文献 [11] 的 第 3 章 。 
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( 续 ) 





DHCPv6 






DHCPv4 











为 延长 租赁 期 而 发 送 到 租赁 
DHCP 服务 器 的 客户 端 消息 


为 延长 租赁 期 而 发 送 到 任意 
租赁 DHCP 服务 器 的 客户 端 
消息 


DHCPREQUEST( 单 播 ) RENEW ( #35 ) 





DHCPREQUEST( J #8) REBIND( 组 播 ) 










放弃 一 个 地 址 租赁 的 客户 端 


DHCPRELEASE RELEASE 
消息 








指明 一 个 提供 的 人 P 地 址 已 被 
使 用 的 客户 端 消息 


DHCPDECLINE DECLINE 


DHCPFORCERENEW 


DHCPINFORM 














指令 客户 端 得 到 一 个 新 配置 
的 服务 器 消息 


仅 请 求 IP 配置 (不 是 地 址 ) 


RECONFIGURE 


INFORMATION- REQUEST 


5.2 DHCPv6 地 址 指派 


当 一 台 设 备 在 一 个 IPv6 子 网 上 初始 化 时 ， 它 将 倾听 或 请 求 一 条 路 由 器 通告 ， 
而 确定 是 否 有 DHCP 服务 可 用 于 该 子 网 。 回 顾 一 下 在 第 2 章 我 们 关于 邻居 发 现 的 讨 
论 ， 其 中 在 路 由 器 通告 内 部 的 M 比特 通知 子 网 上 的 设备 ， 告 知 它们 ，DHCPv6 服务 可 
用 于 地 址 和 参数 指派 ; 0 比特 指明 DHCPv6 服务 可 用 于 参数 设置 ， 而 不 可 用 于 地 址 指 
派 。DHCPv6 过 程 是 以 一 个 客户 端 发 出 一 条 SOLICIT 消息 开始 的 ， 本 质 上 从 DHCP 服 
务 器 〈 可 能 是 多 个 服务 器 ) 处 请 求 一 个 “bid” (出 价 ， 即 提供 一 个 地 址 ) ， 这 些 服务 
器 可 在 该 客户 端 所 连接 的 特定 子 网 上 提供 一 个 P 地 址 。 在 IPv4 中 客户 端 要 广播 这 
条 起 始 报 文 ， 但 在 IPv6 中 却 不 是 这 样 的 ， 而 是 客户 端 向 All_Relay_Agents _ and _ 
Servers (所 有 中 继 代理 和 服务 器 ) 组 播 地 址 FF02:: 1; 2 发 送 SOLICIT 消息 。 注 意 
在 这 个 组 播 地 址 上 的 范围 字段 (以 黑体 突出 显示 的 FF02:: 1: 2) 适用 于 链 路 本 地 
范围 。 

在 这 个 子 网 上 的 DHCPv6 服务 器 将 直接 接收 到 SOLICIT 报 文 ， 并 以 一 条 ADVER- 
TISE 报 文 做 出 响应 ， 指 明 一 个 优先 级 数值 。 使 用 优先 级 数值 的 目的 是 使 客户 端 选 择 
通告 最 高 优先 级 (由 管理 员 配 置 ) 的 服务 器 。 该 服务 器 也 将 指明 在 子 网 上 它 是 否 有 
可 用 的 地 址 。 如 果 SOLICIT 是 直接 使 用 由 SOLICIT 报 文 得 到 的 客户 端 源 IP 地 址 ( 极 
可 能 是 客户 端的 链 路 本 地 地 址 ) 接收 到 的 ， 那么 ADVERTISE 报 文 将 会 单 播 到 客 
户 端 。 

客户 端 分 析 接 收 到 的 各 条 通告 ， 并 选择 一 台 服 务 器 (典型 情况 下 具有 最 高 的 优 
先 级 ) ， 请 求 一 个 IP 地 址 ， 并 向 该 服务 器 发 出 一 条 REQUEST 消息 。 之 后 服务 器 将 记 
录 地 址 指派 ， 并 以 一 条 REPLY 消息 对 客户 端 做 出 应 答 ， 如 图 5-1 所 示 。 
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在 链 路 上 被 配置 为 中 继 代理 的 任何 路 由 器 ， 如 果 从 一 台 DHCPv6 客户 端 接收 到 
SOLICIT 报 文 ， 那 么 它 将 该 报 文中 继 到 一 个 或 多 个 DHCPv6 服务 器 。IPv6 中 继 代理 不 
会 像 在 IPv4 情形 中 那样 要 求 配置 DHCP 中 继 代理 地 址 ， 但 它们 可 以 支持 这 样 的 配置 。 
在 IPv4 中 是 简单 地 将 报 文 转发 到 一 台 或 多 台 DHO 服务 器 ， 在 IPv6 中 不 是 这 样 的 ， 
IPv6 中 继 代 理 将 原始 的 SOLICIT 报 文 封装 在 一 条 RELAY-FORW 报 文 内 部 。 之 后 这 条 
报 文 被 发 送 到 配置 好 的 DHCP 服务 器 ， 或 通过 组 播发 送 到 范围 受 限 的 所 有 DHCP 服务 
器 组 播 地 址 (FFOS:: 1: 3)。 类 似 于 IPv4 DHCP GIAddr 参数 ，RELAY-FORW 报 文 的 
链 路 地 址 字段 指明 了 这 样 的 链 路 ， 客 户 端 当前 在 这 条 链 路 上 ， 且 该 客户 端正 在 请 求 一 
个 全 地 址 。 这 个 过 程 如 图 5-2 所 示 。 这 个 信息 由 DHCPv6 服务 器 使 用 ， 用 于 为 这 条 链 
路 指派 一 个 合适 的 IP 地 址 。DHCPv6 服务 器 将 其 ADVERTISE 消息 封装 在 一 条 RE- 
LAY-REPL 报 文中 ， 并 将 之 单 播 到 相应 的 中 继 代理 。 


SOLICIT hd 
A ADVERTISE 
d REQUEST 


DHCPv6 客户 端 











REPLY DHCPv6 服务 器 


Ai 5-1 DHCPv6 地 址 指派 


=2001: DB8:3::1 








局 域 网 
001: DB8:3::/48, g lad 
DHCP 服务 器 


2001:DB8 :10::F7 
SOLICIT RELAY—-FORW 
组 播 到 FFO2::1:2 组 播 到 FF05 ::1:3 


链 路 地 址 =2001:DB8:3::1 
图 5-2 DHCPv6 p 4k] 


当 客 户 端 接收 到 一 条 确认 地 址 指派 的 应 答 报 文 时 ， 该 客户 端 必须 执行 重复 地 址 检 
测 ， 以 便 确 保 没 有 其 他 设备 已 在 使 用 该 IP 地 址 〈 采 用 自动 配置 或 人 工 配置 的 方法 配 
置 的 ) 。 如 果 男 一 台 设 备 正在 使 用 被 指派 的 IP 地 址 ， 那 么 客户 端 将 向 DHCP 服务 器 发 
送 一 条 拒绝 (Decline) 消息 ， 指 明 该 地 址 已 被 使 用 。 之 后 该 客户 端 重新 启动 DHCP 
过 程 ， 以 便 得 到 一 个 不 同 的 他 地址 。 

除了 上 面 概 述 的 四 报 文 交换 外 ，DHCPv6 的 特征 功能 还 有 一 个 快速 提交 选项 。 这 
使 消息 需求 减 半 ， 使 服务 器 能 够 简单 地 对 一 条 SOLICIT 报 文 做 出 REPLY (应 答 )。 客 
户 端 将 在 其 SOLICIT 消息 中 包括 快速 提交 选项 。 可 对 一 个 地 址 指派 做 出 响应 的 服务 器 
(可 能 是 多 台 服 务 器 ) 将 直接 发 出 一 条 REPLY 报 文 ， 同 样 包括 快速 提交 选项 。 注 意 ， 
做 出 响应 的 每 台 服 务 器 将 假定 它 所 指派 的 地 址 将 被 租赁 ， 所 以 快速 提交 应 该 带 有 短 的 
租赁 时 间 ， 或 由 有 限 数量 的 服务 器 支持 ， 条 件 是 正常 情况 下 ， 有 许多 台 服 务 器 服务 该 
子 网 。 
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和 第 2 章 中 描述 的 IPv6 自动 配置 一 样 ， 通 过 DHCP 指派 的 每 个 非 临 时 ”IPv6 地 址 
都 有 一 个 首选 寿命 和 一 个 有 效 的 寿命 。 在 首选 寿命 超期 之 后 ,该 地 址 被 认为 是 有 效 
的 ， 但 应 该 弃 用 。 在 弃 用 情况 下 ， 不 应 该 有 新 的 卫 通信 会 话 利用 该 地 址 。 


5.3 DHCPv6 BAZ 


DHCPv6 不 仅 用 于 向 主机 指派 个 体 (individual) IP 地 址 和 /或 关联 的 IP 配置 信 
息 ， 而 且 可 用 于 将 整个 网 络 委派 给 请 求 (地址 ) 的 路 由 设备 。 通 过 DHCPv6 的 这 种 形 
式 委 派 被 称 作 前 缀 委派。 前 级 委 派 的 这 种 原始 动机 来 自 于 宽带 服务 提供 商 ， 他 们 寻求 
以 一 种 层次 化 的 方式 向 宽带 用 户 委派 IPv6 子 网 (例如 /48 到 /64 网 络 ) 的 过 程 自动 
化 。 在 服务 提供 商 网 络 边缘 的 一 台 请 求 (地址 ) 的 路 由 器 设备 (面向 用 户 ， 即 服务 
用 户 ) ， 将 通过 DHCPv6 协议 向 一 台 委派 路 由 器 发 出 地 址 空间 的 请 求 。 注 意 该 术语 的 
含义 : 其 意图 是 作为 一 个 路 由 器 间 的 协议 ， 即 使 一 台 DHCPv6 路 由 器 可 执行 委派 路 由 
器 的 功能 〈 但 它 不 是 路 由 器 ) 。 

前 缀 委派 过 程 利 用 前 面 描述 过 的 图 5-1 所 示 地 址 指派 相同 的 基本 DHCPv6 消息 
Bit: 索 求 (Solicit)、 通 告 、 请 求 和 应 答 。 在 相应 DHCPv6 消息 内 部 的 其 他 信息 被 用 于 
确定 委派 的 一 个 合适 网 络 。 和 IP 地 址 一 样 ， 前 缀 也 有 首选 寿命 和 有 效 寿命 。 发 出 请 
求 的 路 由 器 可 通过 DHCPv6 刷新 和 重 绑 定 消息 ， 来 请 求 得 到 一 次 寿命 延长 。 


5.4 DHCPv6 对 地 址 自动 配置 的 支持 


当 我 们 在 第 2 章 讨 论 IPv6 自动 配置 时 ， 我们 定义 了 三 种 类 型 的 自动 配置 : 

1) 无 状态 的 。 这 个 过 程 是 “无 状态 的 ”， 原 因 是 它 不 依赖 于 外 部 指派 机 制 〈 例 
如 DHCPv6) 的 状态 或 是 否 可 用 。 

2) 有 状态 的 。 有 状态 过 程 单纯 依赖 于 外 部 地 址 指派 机 制 ， 例 如 DHCPv6 。 

3) 无 状态 和 有 状态 的 组 合 。 这 个 过 程 将 一 种 形式 的 无 状态 地 址 自动 分 配 与 额外 
IP 参数 的 有 状态 配置 相 结合 一 起 使 用 。 

自动 配置 的 这 第 三 种 组 合 形式 利用 DHCPv6 ， 不 是 为 了 得 到 IPv6 地 址 指派 ， 而 是 
为 了 得 到 额外 参数 的 指派 ， 被 编码 为 DHCPv6 选项 。 客 户 端 可 通过 信息 请 求 消息 来 请 
求 配 置 参 数 ， 指 明 它 正在 寻求 得 到 哪些 选项 参数 值 。 能 够 提供 所 期 望 配置 参数 的 一 台 
服务 器 (或 多 台 服 务 器 ) 将 以 一 条 应 答 消 息 做 出 响应 ， 带 有 相应 的 选项 参数 。 


5.4.1 DHCPv6 消息 类 型 


针对 DHCPv6 定义 了 如 下 消息 类 型 ; 
1) SOLICIT ( 索 求 ) 一 一 消息 类 型 = 1 一 一 由 一 个 客户 端 发 出 ， 为 的 是 定位 DH- 


CPv6 服务 器 。 


日 一 个 临时 地 址 是 一 个 短 时 (指使 用 时 间 ) 不 可 刷新 的 地 址 。 
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2) ADVERTISE (通告 ) 一 一 消息 类 型 = 2 一 一作 为 对 一 条 索 求 消息 的 响应 ， 由 一 
台 服 务 器 发 出 ， 指 明 DHCP 服务 用 服务 器 的 存在 。 

3) REQUEST (请 求 ) 一 消息 类 型 = 3 一 一 由 客户 端 发 出 ， 从 一 台 特 定 的 DH- 
CPv6 服务 器 请 求 IP 地 址 和 配置 参数 。 

4) CONFIRM 一 一 消息 类 型 = 4— 由 一 台 客 户 端 向 任何 可 用 的 服务 器 发 出 ， 
用 来 验证 指派 给 它 的 地 址 (可 能 是 多 个 地 址 ) 对 于 它 当前 的 子 网 位 置 仍然 是 合 
适 的 。 

5) RENEW 一 一 消息 类 型 = 5 一 由 一 个 客户 端 向 它 所 接受 P 地 址 的 服务 器 发 
出 ， 用 来 扩展 或 刷新 它 的 IP 地 址 寿命 ， 并 更 新 其 他 参数 。 

6) REBIND 一 一 消息 类 型 =6 一 一 由 一 个 客户 端 向 所 有 可 用 的 服务 器 发 出 ， 用 来 
TEEKI 地址 寿命 ， 并 更 新 其 他 参数 。 是 在 没有 接收 到 一 条 以 前 RENEW 消息 的 
应 答 之 后 ， 才 发 送 这 条 消息 的 。 

7) REPLY 一 一 消息 类 型 =7 一 一 作为 对 索 求 、 请 求 、 刷 新 或 重新 绑 定 消息 的 响 
应 ， 由 一 台 服 务 器 发 出 的 ， 用 来 向 一 个 客户 端 提 供 I 地 址 和 /或 配置 参数 。 服 务 器 也 
向 期 望 通过 确认 消息 来 确认 其 配置 的 客户 端 ， 发 出 这 个 消息 类 型 ， 并 用 来 确认 从 客户 
端 接收 到 释放 和 拒绝 消息 。 

8) RELEASE 一 一 消息 类 型 =8 一 一 由 一 个 客户 端 向 它 接收 到 P 地 址 的 服务 器 发 
出 的 ， 用 来 放弃 IP 地 址 。 之 后 客户 端 必须 释放 使 用 该 IP 地 址 。 

9) DECLINE 一 一 消息 类 型 =9 一 一 由 一 个 客户 端 发 出 的 ， 用 来 通知 一 台 服 务 器 ， 
告知 由 该 服务 器 指派 的 一 个 或 多 个 地 址 在 客户 端 所 在 的 链 路 上 已 经 在 用 。 

10) RECONFIGURE 一 一 消息 类 型 -10 一 一 由 一 台 服 务 器 发 出 的 ， 用 来 指令 一 个 
客户 端 重新 初始 化 ， 原 因 是 该 服务 器 有 新 的 或 更 新 的 配置 参数 可 用 于 该 客户 端 。 之 后 
该 客户 端 必须 按照 服务 器 的 指令 ， 发 出 一 条 刷新 或 信息 请 求 消息 ， 来 得 到 更 新 的 或 新 
的 信息 。 

11) INFORMATION-REQUEST 一 一 消息 类 型 = 11 一 一 由 客户 端 发 出 的 ， 用 来 从 一 
台 服务 器 得 到 IP 地 址 之 外 的 配置 参数 。 

12) REPLAY-FORW 一 一 消息 类 型 = 12 一 一 由 一 台中 继 代理 直接 或 通过 其 他 代 
理 ， 向 一 台 服 务 器 或 一 组 服务 器 发 出 的 ， 用 来 封装 一 条 客户 端 发 起 的 或 中 继 代理 发 起 
的 消息 。 

13) RELAY-REPL 一 一 消息 类 型 = 13 一 一 作为 对 RELAY-FORW 的 应 答 ， 由 一 人 台 
服务 器 向 一 台中 继 代理 发 出 的 ， 封 装 发 往 一 个 客户 端的 一 条 消息 ， 它 被 编码 为 RE- 
LAY-REPL 消息 内 部 的 一 个 选项 。 该 中 继 代理 必须 直接 或 通过 其 他 中 继 代理 将 该 消息 
发 送 到 该 客户 端 。 

14) LEASEQUERY 一 一 消息 类 型 = 14 一 一 由 诸如 访问 集中 器 或 中 继 代 理 的 一 台 
设备 发 出 ， 用 于 从 DHCP 服务 器 请 求 租赁 绑 定 信息 ， 如 一 个 特定 客户 端的 IPv6 地 址 、 
DUID、 中 继 代理 、 链 路 地 址 或 远程 标识 符 。IPv6 客户 端 DUD 查询 用 于 个 体 设备 租赁 
查询 ， 而 其 他 查询 类 型 则 方便 了 多 个 客户 端 租赁 状态 的 成 块 租赁 查询 。 在 IETF 内 部 
正在 开发 针对 IPv4 的 成 块 租赁 查询 。 
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15) LEASEQUERY-REPLY 一 一 消息 类 型 = 15 一 一 作为 对 一 条 LEASEQUERY 消息 
的 响应 ， 由 一 台 服 务 器 向 查询 的 设备 发 出 的 ， 带 有 与 查询 有 关 的 租赁 绑 定 信息 。 

16) LEASEQUERY-DONE 一 一 消息 类 型 = 16 一 一 由 一 台 服 务 器 向 查询 的 设备 发 
出 的 ， 指 明 一 个 成 块 租赁 查询 的 结束 。 

17) LEASEQUERY-DATA 一 一 消息 类 型 =17 一 一 由 一 台 服 务 器 向 查询 的 设备 发 出 
的 ， 当 一 个 以 上 客户 端的 数据 要 以 这 样 的 结果 提供 时 ， 用 于 封装 单一 的 DHCPv6 客户 
端的 租赁 信息 。 


0 bit 738 31 


事务 1D 





24 bit 





图 5-3 DHCPv6 报 文 格式 568] 


5.4.2 DHCPv6 报 文 格式 


DHCPv6 报 文 格式 是 非常 简单 的 〈 见 图 5-3) 。 它 由 一 个 8bit 消息 类 型 、24bit 事 
务 ID 和 一 个 可 变 长 度 的 选项 字段 组 成 。 这 就 是 报 文 格式 ， 就 这 些 内 容 。 与 客户 端 身 
份 和 配置 有 关 的 信息 被 放置 在 选项 字段 内 部 。 

但 是 ， 当 一 个 中 继 代 理 处 于 客户 端 和 服务 器 之 间 的 路 径 上 时 ， 该 中 继 代理 修改 消 
息 ， 产 生 用 于 转发 和 中 继 消 息 的 一 个 通用 格式 ， 如 图 5-4 所 示 。 

1) 8bit 消息 类 型 。 

2) 已 经 中 继 这 条 消息 的 8bit 跳 计数 或 数量 ， 沿 路 径 由 每 个 中 继 做 加 1 处 理 。 

3) 128bit 链 路 地 址 一 一 服务 器 使 用 的 IPv6 地 址 ， 用 来 识别 客户 端 所 处 的 链 路 
(类 似 于 giaddr 概念 ) 。 

4) 128bit 对 端 地 址 一 一 客户 端 或 中 继 代 理 〈 要 被 中 继 的 消息 是 从 该 处 接收 到 
的 ) 的 IPv6 地 址 。 

5) 可 变 的 长 度 选项 字段 ， 包 括 中 继 消息 选项 ， 该 选项 包括 要 在 客户 端 和 服务 器 
之 间 中 继 的 DHCPv6 消息 


0 bit The 15 16 23 24 31 








链 路 地 址 


图 5-4 DHCP 中 继 报 文 格式 !81 
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5.5 设备 唯一 标识 符 


像 DHCPv4 一 样 ， 一 台 DHCPv6 服务 器 必须 跟踪 其 所 配置 地 址 池内 部 IP 地 址 的 可 
用 性 和 指派 情况 ,并 识别 IP 地 址 的 请 求 者 和 持 有 者 。DHCPv6 利用 设备 唯一 标识 符 
(DUID) 来 识别 客户 端 。DUID 不 仅 用 于 服务 器 识别 客户 端 ， 而 且 用 于 客户 端 来 识别 
服务 器 。DUID 类 似 于 客户 端 -标识 符 概念 ， 但 DUD 的 意图 为 对 于 设备 (而 不 是 一 个 
接口 ) 而 言 是 全 球 唯一 的 。DUID 不 应 该 随时 间 而 发 生 改 变 ， 即 使 设备 的 硬件 发 生变 
化 时 DUID 也 不 应 该 发 生变 化 。DUID 是 以 各 种 方式 自动 地 由 IPv6 节点 构造 的 。 它 们 
由 一 个 两 字 节 类 型 码 后 跟 依据 类 型 而 变 的 一 个 可 变数 量 的 字 节 组 成 的 。 后 跟 的 DUID- 
类 型 码 定 义 如 下 。 

1) 类 型 =1 链 路 层 地 址 加 上 时 间 (DUID-LLT) 。 

2) 类 型 =2 一 一 依据 企业 号 (DUID-EN) 产生 的 厂商 指派 的 唯一 ID, 

3) 类 型 =3 一 一 基于 链 路 层 的 DUID (DUID-LL)。 

对 于 那些 基于 链 路 层 地 址 的 类 型 码 而 言 ， 它 们 被 用 于 所 有 的 设备 接口 ， 即 使 由 其 得 到 
链 路 层 地 址 的 硬件 被 拆除 也 是 如 此 。DUID 是 一 个 设备 标识 符 ， 而 不 是 一 个 接口 标识 符 。 


5.5.1 DUID-LLT 





DUID- 链 路 层 地 址 和 时 间 格 式 如 图 5-5 所 示 。DUID 类 型 是 “1”。 硬件 类 型 是 为 
接口 硬件 类 型 由 IANA- 指 派 的 数值 (一 个 完整 列表 参见 http: //www. iana. org/assign- 
ments/ arp-parameters) 。 后 跟 时 间 字 段 ， 并 表示 DUID 创建 的 时 间 ， 以 自 2000 441 H 
1 日 (UTC 时 间 ) 以 来 的 秒 数 对 2” 取 模 表 示 。 那 么 所 选中 接口 的 硬件 地 址 由 链 路 层 
地 址 字段 组 成 。 

一 台 设备 是 如 下 形成 这 个 DUID 的 : 选择 一 个 接口 ， 使 用 它 的 链 路 层 类 型 和 地 
址 。DUID 应 该 存储 在 该 设备 上 的 永久 存储 器 之 中 。 对 于 它 对 应 的 硬件 类 型 而 言 ， 链 
路 层 地 址 必须 是 全 球 唯一 的 。 之 后 在 与 DHCP 服务 器 通信 的 过 程 ， 这 同一 个 DUID 与 
设备 上 的 每 个 接口 关联 起 来 ， 即 使 DUID 推演 形成 所 依据 的 接口 被 拆除 ， 也 必须 如 
此 。 但 是 ， 如 果 该 接口 被 拆除 并 被 安装 到 另 一 台 设 备 ， 如 果 那 台 设 备 如 此 依据 相同 的 
接口 地 址 选择 形成 它 的 DUID 话 ， 那 么 这 个 DUD 格式 的 时 间 项 应 该 使 新 设备 使 用 相 
同 接口 形成 不 同 DUID 的 概率 较 高 。 对 于 具有 存储 DUID 的 永久 存储 器 的 那些 设备 ， 
建议 使 用 DUID-LLT 格式 。 
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图 5-5 链 路 层 地 址 加 上 时 间 格 式 化 形成 的 DUID'®! 
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5.5.2 DUID-EN 


基于 企业 号 码 的 DUD 格式 ， 是 由 厂商 指派 给 设备 的 〈 见 图 5-6) 。DUID ARE 
括 DUID 类 型 “2”、 企 业 号 码 等 ， 企 业 号 码 是 由 IANA 指派 给 设备 厂商 的 (参见 ht- 
tp: //www. iana. org/assignments/enterprise-numbers) ， 很 像 由 IEEE 将 以 太 网 接口 前 绥 
指派 给 厂商 的 过 程 。EN 之 后 跟着 的 是 由 厂商 指派 的 一 个 厂商 唯一 标识 符 。 这 个 DUID 
必须 被 存储 在 设备 的 永久 存储 器 之 中 。 


0 15 16 31 





图 5-6 “sb Sesh 1b Ie ae DUID!*! 
5.5.3 DUID-LL 


基于 链 路 层 地 址 的 DUID 非常 类 似 于 DUID-LLT， 但 略 掉 了 时 间 字 段 。DUID 类 型 
是 “3”( 见 图 5-7)。 硬件 类 型 是 为 接口 硬件 类 型 由 IANA- 指派 的 值 (要 得 到 完整 列 
表 ， 参 见 http: //www. iana. org/assignments/arp-parameters) ， 后 跟 链 路 层 地 址 。 和 其 
他 形式 的 DUID 一 样 ， 一 个 常见 的 DUID 应 该 与 设备 上 的 每 个 接口 相关 联 。 对 于 没有 
永久 存储 能 力 来 存储 DUID 值 的 那些 设备 ， 建 议 采 取 这 种 形式 的 DUD, 
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图 5-7 由 链 路 层 地 址 形成 的 DUID'Ss] 
5.6 身份 关联 


因为 DUD 与 一 台 设 备 的 所 有 接口 和 指派 给 接口 的 IP 地 址 都 关联 起 来 了 ， 您 可 能 
会 奇怪 ， 对 于 一 个 给 定 的 DUID， 设 备 和 服务 器 如 何 识别 特定 的 接口 呢 。 对 于 个 体 地 
址 指派 ， 身 份 关联 (1A) 的 概念 提供 了 一 台 DHCPv6 服务 器 和 一 个 客户 端 接口 之 间 的 
这 种 联结 关系 。 对 于 临时 地 址 〈 短 时 租赁 的 、 非 刷新 的 地 址 ) (IA_TA)、 非 临时 地 
址 和 前 缀 委派 (IA_PD)，IA 依 它们 的 类 型 区 分 。 

临时 地 址 指派 缓解 了 与 依据 硬件 地 址 进行 自动 配置 地 址 〈 即 修改 的 EUI-64 接口 
ID) 〈 它 不 随时 间 而 发 生 改 变 ) 相关 的 隐私 担忧 。 担 忧 是 这 样 的 ， 即 除非 低层 硬件 接 
口 发 生 改 变 ， 在 一 个 IPv6 地 址 内 部 的 一 个 给 定 接 口 D 不 会 发 生 改 变 。 因 此 ， 即 使 一 
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个 设备 所 连接 的 网 络 天 天 发 生变 化 ， 但 接口 ID 却 不 变 。 跟 踪 一 台 设 备 的 位 置 的 能 力 ， 
由 此 就 会 跟踪 到 它 的 用 户 ， 就 变 得 相对 容易 ， 因 此 就 出 现 了 对 隐私 的 担忧 。 对 通过 
DHCPv6 使 用 临时 地 址 得 到 短 寿命 的 、 非 刷新 地 址 指派 ， 是 解决 这 种 担忧 的 一 种 方 
法 。 要 了 解 这 个 隐私 问题 的 更 多 背景 信息 ， 请 参见 RFC 3041, 

对 于 地 址 指派 ， 无 论 是 临时 的 或 非 临 时 的 ， 每 个 客户 端 接口 都 有 一 个 A, H 
个 IA 标识 符 加 以 识别 (IAID)。 在 客户 端 -服务 器 的 DHCPv6 通信 中 ，IAID 被 表示 为 
四 个 字 节 ， 并 由 客户 端 选择 。 在 与 客户 端 相 关联 的 所 有 IAID H, IAID 必须 是 唯一 
的 ， 并 在 客户 端 重启 期 间 必须 是 永久 存储 的 ， 或 在 每 次 重启 时 可 一 致 性 地 推演 得 到 。 
客户 端 指定 它 的 DUID 和 IAID, Xie EM DHCP 服务 器 请 求 一 个 地 址 。DHCPv6 服 
务 器 向 LAID 指派 一 个 IPv6 地 址 ， 还 有 相应 的 T1 (刷新 ) 和 T2 (重启 ) 定时 器 数值 。 

IA_PD 不 必 与 一 个 设备 接口 相关 联 。 回 顾 一 下 ， 发 出 请 求 的 路 由 器 是 使 用 DHCPv6 
来 得 到 一 个 IPv6 网 络 委派 的 。 发 出 请 求 的 路 由 器 必须 推演 得 到 一 个 或 多 个 IA_PD， 以 便 
在 DHCPv6 内 使 用 ，IA_PD 必须 在 重启 期 间 被 永久 存储 ， 或 可 一 致 性 地 推演 得 到 。 


5.7 DHCPv6 选项 


DHCPv6 选项 被 用 于 传递 与 所 关联 DHCP 消息 有 关 的 信息 ， 包 括 DUD AIA. ££ 
DHCPv6 消息 内 部 列 出 各 选项 ， 并 具有 通用 的 格式 ， 如 图 5-8 所 示 。 

ER 5-2 中 给 出 当前 定义 的 DHCPv6 选项 集 。 注 意 某 些 选项 可 能 是 内 骸 的 ， 例 如 
与 一 个 IA 相关 联 的 那些 选项 。 
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{ 

5-8 DHCPv6 选项 格式 '5s] 
表 5-2 DHCPv6 选项 集 
代码 名 字 含义 参考 文献 
客户 端 标 识 符 ( 客 户 端的 DUID) RFC 3315 058 


OPTIONS_SERVERID 服务 器 标识 符 ( 服 务 器 的 DUID ) 

非 临时 地 址 的 身份 关联 一 一 包括 用 
于 非 临 时 地 址 的 IAID, T1 时 间 、T2 时 | RFC 331518 
间 和 IA 的 其 他 选项 

临时 地 址 的 身份 关联 一 一 包括 用 于 临 
时 地 址 的 IAID 和 这 个 IA 的 其 他 选项 
IA 地 址 选项 一 一 指定 IPv6 地 址 和 关联 
的 首选 寿命 有 效 寿命 以 及 与 一 个 IA_NA 
OPTION_IAADDR 或 IA_TA 关联 的 选项 。 如 此 ,这 个 选项 仅 | RFC 3315[5]; 
可 作为 DHCPv6 消息 选项 OPTION_IA_TA 
或 OPTION_IA_NA 的 一 个 选项 。 











OPTIONS_CLIENTID 


RFC 3315 48 














OPTIONS_IA_NA 












OPTIONS_IA_TA RFC 3315'® 
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( 8) 





代码 


名 字 


OPTION_ORO 


含义 
选项 请 求 的 选项 一 一 由 客户 端 使 用 ， 
用 于 列 出 所 请 求 数值 的 各 选项 代码 ,或 
由 服务 器 用 于 一 条 重 配置 消息 ,用 于 指 
明 客 户 端 在 其 后 续 的 刷新 或 信息 请 求 





OPTION_PREFERENCE 


消息 中 应 该 请 求 哪些 选项 。 


由 服务 器 进行 的 优先 级 设置 ,目的 是 
方便 客户 端 选取 DHCP 服务 器 





OPTION_ELAPSED_TIME 


参考 文献 


RFC 3315168] 


RFC 3315168] 


自 客 户 端 开 始 当前 DHCP 事务 以 来 


的 时 间 量 ,以 百 分 之 一 秒 为 单位 表示 。 
要 求 客户 端 使 用 这 个 选项 


RFC 3315! 1 





9 


OPTION_RELAY_MSG 





10 


未 指派 





13 


OPTION_UNICAST 


OPTION_STATUS_CODE 


OPTION_RAPID_COMMIT 











OPTION_USER_CLASS 











OPTION_VENDOR_CLASS 


OPTION_VENDOR_OPTS 


OPTION_INTERFACE_ID 








由 一 台中 继 代理 中 继 的 DHCP 消息 RFC 3315!) 


CP 消息 的 源 ,并 验证 消息 完整 性 


服务 器 单 播 选项 ,指明 客户 端 可 使 用 
该 IP 地 址 向 这 台 服 务 器 单 播 消息 


状态 代码 选项 ,指明 一 个 2 字 节 的 状 
态 码 和 可 变 长 度 的 消息 。 这 个 选项 可 
用 作 一 个 DHCP 消息 选项 ,或 作为 另 一 


有 一 个 IP 地 址 和 参数 的 一 条 直接 应 
答 , 旁 路 了 通告 和 请 求 消息 





11 OPTION_AUTH 认证 信息 ,用 于 可 大 地 识别 一 条 DH- | FC 33151egl 


RFC 3315!) 


RFC 3315!) 


个 DHCP 消息 选项 内 部 的 一 个 选项 
快速 提交 选项 ,使 一 台 客户 端 请 求 带 


RFC 3315!) 





用 户 类 选项 一 一 类 似 于 DHCPv4 中 
的 用 户 类 ,用 于 协助 服务 器 做 出 地 址 指 
派 决策 


RFC 3315558] 





厂商 类 选项 一 一 类 似 于 DHCPv4 中 
的 厂商 类 ,用 于 传递 设备 或 接口 的 厂商 
或 制造 商 信息 ,协助 服务 器 做 出 地 址 指 
派 决 策 。 厂 商 类 选项 包括 厂商 的 IANA 
指派 的 企业 号 码 
厂商 特定 的 信息 一 一 这 个 选项 包括 
IANA 指派 的 企业 号 码 以 及 一 个 或 多 个 
选项 ,每 个 选项 都 以 选项 码 、 长 度 和 值 
定义 

接口 ID 选项 一 一 由 中 继 代 理 使 用 ,用 
于 传递 在 其 上 接收 到 客户 端 消息 的 代理 
的 接口 D。 这 个 选项 仅 出 现在 RELAY- 
FORW 消息 中 , 且 当 确实 出 现时 ,服务 器 
将 其 复制 到 RELAY- REPL 消息 上 





RFC 3315.58] 









RFC 3315/1 










RFC 3315168] 
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代码 名 字 EX 


重新 配置 消息 选项 ,用 于 重新 配置 消 
息 中 ,用 来 通知 客户 端 重新 配置 要 使 用 
的 消息 类 型 ;消息 类 型 是 刷新 或 信息 - 
请 求 


重新 配置 接受 选项 一 一 如 果 客 户 端 
20 OPTION_RECONF_ACCEPT | 乐意 接受 来 自 服务 器 的 重新 配置 消息 ， 
则 客户 端 使 用 这 个 选项 


SIP 服务 器 域名 选项 , 列 出 客户 端 可 
以 使 用 的 SIP 外 发 代理 服务 器 的 域名 


SIP 服务 器 IPv6 地 址 选项 , 列 出 客户 
22 OPTION_SIP_SERVER_A 端 可 以 使 用 的 SIP 外 发 代理 服务 器 的 
IPv6 地 址 


19 OPTION_RECONF_MSG 





21 OPTION_SIP_SERVER_D 





( 续 ) 
参考 文献 


RFC 3315/1 


RFC 3315!) 


RFC 3319!®! 


RFC 3319/9! 








先 级 顺序 列 出 DNS 递归 名 字 服 务 器 的 
IPv6 地 址 (可 能 有 多 个 地 址 ) ,客户 端 
解析 器 可 向 其 发 送 DNS 查询 


23 OPTION_DNS_SERVERS 


DNS 递归 名 字 服 务 器 选项 一 一 以 优 


RFC 3646!) 





域 搜索 列表 选项 一 一 当 通 过 DNS 解 
24 OPTION_SIP_LIST 析 主 机 名 时 ,为 客户 端 用 途 提供 一 个 域 
搜索 列表 


前 级 委派 的 身份 关联 一 一 包括 IAID, 
T1 时 间 、T2 时 间 以 及 IA_PD 的 其 他 选 
项 (包括 像 选项 代码 26 所 定义 的 关联 
前 缀 (可 能 有 多 个 前 缀 ) ) 


IA_PD 前 级 选项 一 一 指定 与 IJA_PD 
关联 的 IPv6 前 缀 ,还 有 关联 的 选项 以 
及 首选 寿命 和 有 效 寿命 。 这 个 选项 仅 
26 OPTION_IAPREFIX 可 作为 DHCPv6 消息 选项 OPTION_IA_ 
PD 的 一 个 选项 出 现 。 这 个 选项 被 指定 
带 有 一 个 8bit 前 缀 长度 和 一 个 
128bitIPv6 AUB 


网 络 信息 服务 (NIS) 服务 器 一 一 依据 
OPTION_NIS_SERVERS 可 用 于 IPv6 地 址 而 排序 的 NIS 服务 器 
列表 


网 络 信 息 服务 v2 (NIS + ) 服务 
OPTION_NISP_SERVERS 器 一 一 依据 可 用 于 IPv6 地 址 而 排序 的 
NIS + 服务 器 列表 


25 OPTION_IA_PD 








OPTION_NIS_DOMAIN_ 网 络 信 息 服 务 域 名 一 一 可 被 客户 
NAME 端 使 用 的 NIS 域名 


30 OPTION_NISP_DOMAIN_ 网 络 信息 服务 v2( NIS + ) 域名 一 一 
NAME 可 被 客户 端 使 用 的 NIS + 域名 











RFC 3646[070] 


RFC 3633/7!) 


RFC 3633/7!) 


RFC 3898 [72] 


RFC 3898 [72] 


RFC 3898/7?) 


RFC 3898/7! 
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( 续 ) 
i 
代码 名 字 含义 参考 文献 


简单 网 络 时 间 协 议 (SNTP) 服务 
OPTION_SNTP_SERVERS 器 一 一 依据 可 用 于 IPv6 地 址 而 排序 的 RFC 407573) 


SNTP 服务 器 列表 
(ee || eee 
信息 刷新 选项 一 一 指定 从 当前 时 间 
og ns es ie et 
REFRESH_TIME he 
前 必须 等 待 的 时 间 , 特 别 对 于 无 状态 
DHCPv6 场景 尤其 要 遵守 这 个 时 间 


31 

















广播 和 组 播 服 务 (BCMCS ) 域名 列 
表 一 一 对 应 于 BCMCS 服务 器 (可 能 有 
33 OPTION_BCMCS_SERVERS_D 台 ) 的 一 个 或 多 个 FQDN 列表 (了 BC- RFC 4280/46) 


MCS 用 于 3G 无 线 网 络 中 ,使 移动 终端 


可 接收 广播 和 组 播 服务 ) 


广播 和 组 播 服 务 IPv6 地 址 列表 一 一 
对 应 于 BCMCS 服务 器 (可 能 有 多 台 ) 的 
34 OPTION_BCMCS_SERVERS_A | 一 个 或 多 个 IPv6 地 址 列表 ( BCMCS 用 RFC 4280!46) 
于 3G 无 线 网 络 中 ,使 移动 终端 可 接收 
广播 和 组 播 服务 ) 


























地 理 位 置 ,以 市 政 (例如 邮政 ) 格 式 
表示 。 这 个 选项 可 由 服务 器 提供 ,将 服 
务 器 的 位 置 、 最 近 的 网 元 (例如 路 由 
器 ) 与 客户 端 或 客户 端 自身 相关 联 。 位 si 
36 OPTION_GEOCONF_CIVIC 置信 息 包括 一 个 190 3166 国家 代码 RFC 477651! 
(US、DE、JP 等 ) 和 国家 特定 的 位 置信 
E, 例 如 州 、 省 、 乡 、 市 、 街 区 、 街 组 


(group of streets) 等 


中 继 代理 远 端 ID 选项 一 一 中 继 代理 
在 发 往 DHCPv6 服务 器 的 RELAY- 
FORW 消息 中 插入 的 远 端 身份 。 在 服 
务 提供 商 环 境 中 这 是 有 用 的 ,其 中 在 将 RFC 4679175! 
消息 中 继 到 DHCPv6 服务 器 之 前 ,面向 
订户 设备 的 “边缘 ”设备 为 订户 连接 插 
人 一 个 标识 符 


中 继 代 理 订户 ID 选项 一 一 中 继 代理 
在 发 往 DHCPv6 服务 器 的 RELAY- 
FORW 消息 中 插入 的 订户 身份 。 在 服 
务 提 供 商 环境 中 这 是 有 用 的 ,其 中 在 将 
订户 所 发 的 消息 中 继 到 DHCPv6 服务 
器 之 前 ,面向 订户 设备 的 “边缘 "设备 
为 订户 插入 一 个 标识 符 























37 OPTION_REMOTE_ID 




















38 OPTION_SUBSCRIBER_ID RFC 4580/76) 
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( 续 ) 












含义 


FQDN 选项 一 一 指明 客户 端 或 DHCP 
服务 器 是 否 应 该 以 对 应 于 所 指派 IPv6 
地 址 的 AAA 记录 和 本 选项 中 提供 的 RFC 47045[77] 
FQDN 来 更 新 DNS。DHCP 服务 器 总 是 
更 新 PTR 选项 


这 个 选项 提供 了 与 PANA( 用 于 携带 
网 络 接 入 认证 信息 的 协议 ) 认 证 代理 





39 OPTION_CLIENT_FQDN 



















[62] 
40 OPTION_PANA_AGENT (一 个 客户 端 可 以 使 用 的 ) 关联 的 一 个 RFC 5192 
或 多 个 IPv6 地 址 
由 客户 端 使 用 的 时 区 (TZ) ,以 IEEE 
所 OPTION_NEW_POSIX_TIM- | 1003. 1 格式 表示 (POSIX 一 一 便携 的 操 i 


EZONE 作 系 统 接口 ) 。 这 种 格式 支持 时 区 和 夏 


令 时 间 信 息 的 文本 表示 


由 表 项 名 索引 的 时 区 数据 库 表 项 。 
客户 端 必须 有 TZ 数据 库 的 一 个 拷贝 ， RFC 4833 552] 
它 查询 对 应 的 表 项 ,来 确定 它 的 时 区 








OPTION_NEW_TZDB_TIM- 


42 
EZONE 

















中 继 代理 应 答 ( echo ) 请 求 选项 一 一 
在 RELAY_FORW 消息 中 由 中 继 代理 
用 来 请 求 DHCPv6 服务 器 回应 某 些 被 
请 求 的 中 继 代理 选项 ,即使 服务 器 上 不 
支持 该 选项 也 要 回应 (DHCPv4 服务 器 
总 是 回应 中 继 代理 选项 (82 ) 选项 ,但 这 
点 在 DHCPv6 中 不 作 要 求 , 因 此 中 继 代 
理 的 这 个 选项 要 求 这 种 回应 ) 


43 OPTION_ERO RFC 4994178] 














查询 选项 用 于 LEASEQUERY 消息 ， 
用 来 识别 正 被 请 求 的 查询 信息 。 这 个 
选项 包括 查询 类 型 (由 IA 地 址 或 客户 RFC 5007!79! 
端 ID 选项 指明 ) 查询 所 施用 的 链 路 地 
址 和 查询 选项 


44 OPTION_LQ_QUERY 





客户 端 数 据 一 一 这 个 选项 包含 针对 
一 条 LEASEQUERY_REPLY 消息 内 被 
请 求 的 客户 端 数据 的 查询 响应 信息 。 
在 最 低 限度 情况 下 ,这 个 选项 包括 客户 
端 标 识 符 ( OPTION_CLIENTID ) IA 地 
址 或 前 级 ( OPTION_IAADDR 和 /或 OP- 
TION_IAPREFIX) 和 客户 端 发 生 最 近 一 
次 事务 的 时 间 ( OPTION_CLT_TIME) 


45 OPTION_CLIENT_DATA RFC 5007/7! 








客户 端 最 近 一 次 事务 的 时 间 指 
明 自 服务 器 最 近 一 次 与 客户 端 ( 由 租 期 
查询 索引 标明 ) 通 信 以 来 的 秒 数 。 这 个 
选项 被 封装 在 一 条 LEASEQUERY-RE- 
PLY 消息 内 部 的 OPTION_CLIENT_DA- 
TA 选项 内 。 


46 OPTION_CLIENT_TIME RFC 5007!79! 















47 


48 OPTION_LQ_CLIENT_LINK 

49 OPTION_MIP6_HNINF 

50 OPTION_MIP6_RELAY 
Sel DE 


51 


52 


53 


% 5% 用 于 IPv6 的 DHCP (DHCPv6) 





OPTION_LQ_REPLY_DATA 


中 继 数 据 一 一 用 于 一 条 LEASE- 
QUERY-REPLY 消息 ,提供 与 所 请 求 的 
客户 端 信息 关联 的 中 继 代理 信息 。 这 
个 选项 包括 所 接收 客户 端 之 中 继 信息 
的 中 继 代理 地 址 以 及 完整 的 被 中 继 
消息 


客户 端 链 路 一 一 识别 一 条 或 多 条 链 
路 ,被 查询 的 客户 端 在 这 些 链 路 上 具有 
DHCPv6 绑 定 。 可 以 地 址 或 客户 端 了 D 
识别 被 查询 的 客户 端 
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( 续 ) 













RFC 5007!79! 





RFC 5007!79! 








移动 IPv6 归属 网 络 信息 一 一 客户 端 
用 之 向 服务 器 标识 其 目标 归属 网 络 ( 在 
一 条 信息 请 求 消息 之 中 ) 


移动 IPv6 中 继 代 理 一 一 由 一 台中 继 
代理 使 用 ,通过 一 条 RELAY-FORW 消 
息 识 别 归 属 网 络 信息 








OPTION_V6_LOST 


OPTION_CAPWAP_AC_V6 


OPTION_REPLAT_ID 


服务 转换 定位 (LoST) 服务 器 域名 ; 
LoST 协议 将 服务 标识 符 和 位 置信 息 映 
射 到 服务 URL 


无 线 接 入 点 控制 和 准备 (CAPWAP) 
接 人 控制 器 IPv6 地 址 (可 能 有 多 个 地 
SE) ,客户 端 可 连接 这 些 地 址 


DHCPv6 成 批租 赁 查询 一 一 为 一 个 指 
定 的 中 继 代 理 ( 在 这 个 选项 中 由 其 
DUID 识别 ) 请 求 租赁 和 前 缀 委派 绑 定 







draft-ietf- mip6-hiopt- 
17st! ! 


draft- ietf- mip6 - hiopt- 


17. txt[80] 


RFC 5223 9] 


RFC 5417!! 


RFC 5460!!! 
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56 





OPTION_IPv6_FQDN- MoS 


OPTION_IPv6_Address- MoS 


提供 特定 类 型 IEEE 802.21 移动 性 
服务 ( MoS ) 的 服务 器 的 IPv6 地 址 (可 
能 有 多 个 ) 列 表 


提供 特定 类 型 IEEE 802.21 移动 性 
ARS (MoS) 之 服务 器 的 FQDN( 可 能 有 
多 个 ) 列 表 


RFC 567815] 


RFC 5678155] 





OPTION_NTP_SERVER 









MAIN 


OPTION_SIP_UA_CS_LIST 


OPT_BOOTFILE_URL 


OPTION _F6_ ACCESS _DO- 






网 络 时 间 协 议 (NTP) 和 简单 NTP 
(SNTP) 服 务 器 地 址 (可 能 有 多 个 ) 和/ 
或 域名 


在 这 个 接 入 网 络 上 位 置信 息 服务 器 
(LIS) 的 域名 





会 话 初始 协议 (SIP) 用 户 代理 配置 


客户 端 启动 文件 的 URL 









tboot-10 


RFC 5908 !18°! 





draft- ietfgeopriv- lisdisc- 
overy-15 C1783 






draft- lawrencesipforum- 
useragent- config-03 [179] 


draft-dhcdhcpv6- optne- 
[181] 
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( 续 ) 
代码 名 字 含义 参考 文献 
draft- dhcdhcpv6- optnet- 
60 | OPT_BOOTFILE_PARAM 客户 端 启 动 文 件 参数 boot- 101181 
oot- 
61 OPTION_CLIENT_ARCH_ 客户 端 系统 架构 draft- dhcdhcpv6- optnet- 
TYPE 4 boot- 10118" 
62 OPTION NII 统一 网 络 设 备 接口 (UNDI) 支持 的 客 draft- dhcdhcpv6- optnet- 
户 端 网 络 接口 boot-105181] 
入 “| 未 指派 
255 








$62 DHCPv6 的 各 项 应 用 


DHCP 的 最 基本 应 用 是 地 址 指派 的 自动 化 。 当 我 们 连接 到 一 个 IP 网 络 时 ， 我 们 
想当然 地 使 用 DHCP。 通 过 自动 地 进行 P 层 的 初始 化 ， 这 项 基本 功能 使 各 项 卫 应 用 
比较 容易 使 用 。 端 用 户 不 需要 呼叫 (为 计算 机 用 户 提供 的 ) 网 络 支 持 服务 来 得 到 IP 
地 址 ， 并 将 IP 地 址 输入 到 他 们 的 设备 之 中 。DHCP 不 仅 使 卫 地 址 指派 自动 化 ， 而 且 
使 网 络 管理 员 保留 了 如 下 控制 能 力 ， 即 控制 哪些 IP 地 址 可 指派 到 某 些 客户 端 ， 甚 至 
像 我 们 将 在 第 8 章 中 描述 的 那样 拒绝 访问 。 除 了 基本 的 地 址 指派 服务 外 ， 在 本 章 我 们 
将 讨论 依赖 于 DACP 的 各 项 技术 应 用 。 当 然 ， 依 赖 于 DHCP 的 这 些 应 用 因此 也 要 依赖 
于 与 卫 地 址 规划 一 致 的 DHCP 配置 。 

本 章 突出 要 求 特定 用 途 DHCP 配置 的 那些 应 用 ， 这 些 配置 包括 设备 特定 的 配置 和 
宽带 信息 准备 提供 ORS). HF DHO 的 访问 控制 也 可 归 组 在 这 个 话题 之 下 ， 但 我 
们 将 在 第 8 章 安全 上 下 文 下 讲解 那 项 内 容 。 

支持 采用 DHCP 的 各 项 应 用 的 基石 ， 是 DHCP 服务 器 对 请 求 一 个 地 址 的 设备 进行 
分 类 ， 并 提供 一 个 合适 的 IP 地 址 和 其 他 配置 信息 的 能 力 。 这 种 将 客户 端 分 类 为 客户 
端 类 (client class) 的 做 法 使 DHCP 管理 员 能 够 识别 在 一 个 特定 DHCP 报 文字 段 或 选 
项 内 部 的 一 个 参数 值 ， 以 便 在 依据 DHCP 事务 的 基础 上 进行 匹配 。 当 一 个 客户 端 被 分 
类 时 ,那么 DHCP 服务 器 可 确定 如 下 内 容 。 

1) 从 哪个 下 地址 池 中 向 客户 端 指派 一 个 地 址 (如果 还 有 可 用 地 址 的 话 )。 

2) 向 客户 端 提供 哪些 其 他 的 或 替代 的 选项 参数 值 。 

来 自 因特网 系统 联盟 (ISC, Internet Systems Consortium) 和 微软 的 领先 DHCP & 
考 实 现 ， 都 支持 厂商 类 标识 符 (对 于 IPv4 是 选项 60， 对 于 IPv6 是 选项 16) MAPA 
标识 符 (对 于 IPv4 是 选项 77， 对 于 IPv6 是 选项 15) 选项 作为 类 参数 。 当 这 些 选项 被 
包括 在 发 现 (Discover) MAAR (Solicit) 报 文中 时 ,服务 器 可 使 用 这 个 信息 来 识别 
请 求 其 配置 的 设备 的 类 型 。 


6.1 多 媒体 设备 类 型 特定 配置 


迄今 为 止 我 们 使 用 的 最 常见 范例 应 用 是 多 媒体 设备 初始 化 应 用 ,例如 IP 上 的 语 
音 (VoIP) 设备 。 在 许多 情形 中 ， 多 媒体 厂商 制造 商 对 一 个 给 定 厂商 类 标识 符 选项 
值 进行 编码 。 多 数 厂商 在 厂商 类 标识 符 选 项 字段 内 部 ， 提 供 一 个 模型 号 和 /或 制造 商 
名 。 将 DHCP 服务 器 配置 可 识别 这 个 特定 值 ， 就 使 服务 器 能 够 提供 客户 端 要 求 的 某 些 
DHCP 选项 ， 并 从 一 个 特定 地 址 池 中 指派 一 个 P 地 址 。 要 求 使 用 特定 配置 参数 的 其 
他 针对 应 用 的 DHCP 客户 端 ， 可 类 似 地 加 以 识别 并 在 对 应 厂商 类 选项 的 值 基础 上 进行 
配置 。 
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用 户 类 标识 符 选 项 是 用 来 确定 客户 端 配置 的 另 一 个 候选 方法 。 但 是 ， 典 型 情况 
下 ， 因 为 用 户 类 标识 符 是 端 用 户 可 设置 的 ， 所 以 人 们 认为 它 是 不 太 可 靠 的 。 如 果 用 户 
类 组 之 外 的 一 名 用 户 发 现 了 对 应 于 用 户 类 组 的 值 或 设置 ， 则 他 或 她 可 相应 地 对 他 或 她 
的 设备 进行 编程 。 例 如 ， 使 用 微软 的 带 有 /setclassid 参数 的 ipconfig 工具 ， 要 设置 用 户 
类 标识 符 选项 的 值 是 非常 容易 的 。 

在 第 4 章 ， 当 讨论 IPAM 全 球 公司 的 旧金山 办 事 处 的 客户 端 类 设置 时 ， 为 了 依据 
厂商 类 来 区 分 VoIP 设备 ,我 们 介绍 了 一 个 范例 VoIP 应 用 配置 。 图 4-5b 在 这 里 重 画 
为 图 6-1， 形 象 地 展示 了 配置 一 台 ISC DHCP 服务 器 的 一 个 简单 范例 ， 该 例 中 说 明 如 
果 一 条 DHCP 报 文 包含 了 值 为 “vendorY” 的 一 个 厂商 类 标识 符 选 项 ， 而 服务 器 识别 
类 “vendor-y” 的 各 客户 端 。 一 旦 被 分 类 为 一 台 vendor-y 设备 ， 则 将 从 带 有 相应 路 由 
器 和 DNS 服务 器 选项 的 10. 16. 129. 20 ~ 10. 16. 129.250 池 中 ， 向 客户 端 发 行 指派 一 个 
地 址 。 指 定 这 些 选 项 值 ， 在 这 个 地 址 池 声 明 内 部 带 有 “vendor-y” 语 句 的 被 允许 
成 员 。 

类 似 地 ， 类 “vendor-x” 的 设备 将 被 提供 值 为 “vendorX” 的 一 个 厂商 类 标识 符 
选项 的 客户 端 加 以 辨认 。 将 从 10. 16. 128/23 子 网 上 带 有 路 由 器 (和 tftp-server-name) 
选项 值 的 10. 16. 128. 20 ~ 10. 16. 128. 250 池 中 向 这 些 设备 指派 地 址 。 

ISC DHCP 服务 器 支持 在 其 他 类 参数 上 的 过 滤 操作 ， 事 实 上 ， 从 MAC 地 址 、MAC 
地 址 的 一 个 子 网 或 任何 选项 值 的 任何 一 个 报 文 参 数 均 可 。 如 果 需 要 过 滤 一 个 给 定 的 
MAC 地 址 (接口 卡 ) R MAC HER 〈 制 造 商 ) ， 并 指派 某 些 参数 的 话 ， 则 这 样 做 是 非 
常 方 便 的 。 


“eaten i 
match if (vendor_class-i 
tlie 


1 

ils members ofvendors—x”s 
range 10.16.128.20 10.16.128. 250; 
option routers 10.16.128.1, 10.16.129.1 





图 6-1 依据 类 ， 为 DHCP 客户 端 指定 配置 信息 (依据 参考 文献 [35] 的 语法 ) 


6.2 宽带 订户 配置 信息 准备 


有 线 电 缆 产 业 为 有 线 电缆 上 的 数据 传输 定义 了 一 个 标准 ， 被 称 作 有 线 电 缆 上 
数据 服务 接口 规范 (DOCSIS®)。DOCSIS 规范 ， 是 由 Cablelabs 撰写 的 ， 要 求 使 
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用 DHCP 为 顾客 端 设备 (CPE) (例如 线 缆 调 制 解 调 器 和 电话 设备 ) 提供 配置 信 
息 。 提 供 有 线 电缆 数据 或 宽带 因特网 服务 的 一 个 有 线 电缆 运营 商 ， 必 须 部 署 DH- 
CP 服务 器 来 支持 CPE 配置 信息 准备 过 程 。 其 他 宽带 技术 (如 数字 用 户 线 (DSL) 
和 光纤 ) 也 可 使 用 DHCP 3 Bootp, 虽然 诸如 PPP (点 到 点 协议 ) 也 可 由 这 些 宽 
带 技术 所 用 。 

将 DHCP 集成 到 配置 信息 提供 过 程 ， 这 使 在 IP 地址 指派 和 容量 以 及 CPE 用 于 初 
始 化 的 其 他 配置 参数 上 的 宽带 运营 商 控制 ， 是 经 济 上 负担 得 起 的 。DHCP 也 可 被 用 来 
从 对 应 于 各 种 服务 等 级 (依据 客户 的 订购 信息 ) 的 地 址 池 中 指派 PP 地 址 。 从 一 个 给 
定 地 址 池 中 指派 一 个 地 址 的 做 法 ， 要 求 网 络 路 由 基础 设施 被 配置 成 : 将 带 有 这 种 地 址 
的 UP 报 文 仅 路 由 到 某 些 网 络 ， 允 许 对 某 些 目的 地 的 访问 ， 并 以 相应 的 优先 级 和 排队 
来 处 理 报 文 。 

让 我 们 考虑 一 个 范例 来 说 明 这 些 概 念 。 在 图 6-2 中 ， 三 个 订户 通过 宽带 接 入 网 络 
被 连接 到 同一 个 宽带 网 关上 。 该 图 将 每 个 订户 图 示 为 带 有 各 种 服务 等 级 ， 由 不 同 的 阴 
影 表 示 ， 这 些 订户 被 连接 到 宽带 网 关 的 各 不 同 端 口上 。 取 决 于 宽带 接 入 技术 ， 这些 端 
口 可 能 是 物理 端口 也 可 能 是 共享 网 络 接 入 的 逻辑 端口 。 









宽带 网 关 
(中 继 代理 ) 


图 6-2 ”宽带 接 入 场景 1 


不 管 宽带 接 和 人 技术 为 何 种 技术 ,使 用 DHCP 的 各 服务 提供 商都 需要 依据 已 知 的 或 
可 信 的 信息 ， 进 行 地 址 和 参数 指派 。 服 务 提供 商 并 不 依赖 于 DHCP 报 文 的 客户 端 硬件 
地 址 字段 〈 它 可 能 被 伪造 ) ， 而 是 依赖 于 来 自 宽带 网 关 的 信息 ， 该 网 关 位 于 服务 提供 
商 的 网 络 内 ， 并 被 认为 是 值得 信任 的 。 

作为 一 个 DHCP 中 继 代理 的 宽带 网 关 ， 将 DACP 报 文 单 播 到 合适 的 DHCP 服务 器 
(可 能 是 多 台 ) ， 在 DHCP 报 文 首部 内 部 插入 GIAddr 字段 。 网 关 在 空 选项 终结 符 之 前 ， 
插入 中 继 代理 信息 选项 参数 作为 最 后 一 个 选项 。 中 继 代理 信息 选项 提供 诸如 订户 设备 
硬件 地 址 或 订户 虚 电 路 标识 符 等 信息 ， 帮 助 DHCP 服务 器 识别 发 出 DHCPDISCOVER 
报 文 的 订户 客户 端 。 

这 使 DHCP 服务 器 在 其 配置 的 基础 上 ， 向 一 个 给 定 的 订户 提供 合适 数量 的 IP 地 
址 和 /或 选项 参数 。 在 IPv4 中 的 中 继 代 理 信息 选 项 (选项 82) 是 由 一 个 或 多 个 子 选 
项 组 成 的 ， 如 下 定义 这 些 子 选项 。 
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2 远 端 ID 
3 保留 
4 DOCSIS 设备 类 


7 RADIUS 属性 
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对 有 关 到 订户 的 连接 信息 进行 编码 。 
这 由 对 应 于 订户 的 一 个 虚 电 路 标识 符 
(典型 地 对 应 于 一 个 层 2 标识 符 , 如 一 
个 ATM 虚 电 路 ID 、 帧 中 继 数 据 链 路 连 
接 标 识 符 (DLCI) ) ,或 远 端 接 人 服务 器 
或 交换 机 端口 号 组 成 








3046/47] 





RFC 索引 








就 远 端 客户 端 设备 的 信息 进行 编码 ， 
例如 其 以 太 网 地 址 、 调 制 解 调 器 标识 符 
或 一 条 拨号 连接 的 呼叫 者 ID 


未 使 用 


就 有 线 电缆 CPE AY) DOCSIS 设备 类 
进行 编码 。 这 个 选项 适用 于 DOCSIS 有 
线 电 缆 接 人 网 络 ,CMTS( 有 线 电缆 边缘 
设备 ) 可 在 这 个 信息 (在 DOCSIS 注册 
过 程 中 采集 到 的 ) 的 基础 上 包括 这 个 子 
选项 


对 由 DHCP 服务 器 使 用 的 一 个 IP 地 
址 (替代 GIAddr 字段) 进行 编码 , 当 向 
客户 端 进行 地 址 指派 而 选择 一 个 子 网 
地 址 时 ,DHCP 服务 器 使 用 这 个 地 址 。 
当 正在 使 用 共享 的 子 网 9 时 ,这 将 是 适 
用 的 。 





对 一 个 订户 标识 符 字符 串 编 码 ,该 字 
符 串 将 DHCPDISCOVER 与 给 定 的 订户 
客户 端 关联 起 来 。 如 果 订 户 在 各 种 媒 
介 上 访问 网 络 ,这 将 是 有 用 的 ,其 中 电 
路 标识 符 或 远 端 标识 符 的 用 途 将 仅 指 
明 低 层 的 接 人 机 制 ,而 不 指明 订户 关联 


依据 RADIUS 协议 (RFC 2865 ) 对 
RADIUS 属性 编码 ,在 进行 参数 指派 时 ， 
DHCP 服务 器 将 用 这 些 属性 。 这 些 属 
性 可 被 编码 为 一 个 类 型 长 度 值 的 字 节 
流 ; 并 可 包括 用 户 名 \ 口 令 、 接 和 信服 务 器 
IP/ 端 口 以 及 其 他 属性 








= 








对 认证 信息 进行 编码 ,作为 在 中 继 代 
理 信息 上 提供 消息 完整 性 的 一 种 方法 。 
这 种 编码 类 似 于 第 8 章 讨论 的 DHCP 
认证 所 用 的 编码 方法 


3046 [42] 


3256! 8! 


3527! 831 


3993 [84] 


4014/85) 


4030156] 





日 ”共享 的 子 网 指 在 单一 物理 子 网 (路 由 器 接口 ) 上 提供 多 个 逻辑 子 网 。 
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( 续 ) 











编码 为 一 个 或 多 个 厂商 特定 的 信息 
厂商 特定 信息 集合 ,每 个 集合 由 一 个 三 元 组 组 成 : 
IANA 注册 的 企业 号 \ 长 度 和 数据 


标志 条 件 的 可 扩展 子 选 项 ;定义 了 一 
个 标志 ,指明 中 继 代理 是 通过 单 播 (1) 
还 是 广播 (0) 接 收 到 DHCP 报 文 的 


指令 DHCP 服务 器 在 其 响应 客户 端 
时 ,要 在 服务 器 标识 符 字段 中 使 用 这 个 
指定 的 值 ;这 使 中 继 代 理 能 够 接收 DH- 
CPRENEW 报 文 (以 其 他 方式 中 继 代理 
是 看 不 到 这 种 报 文 的 ) , 当 向 服务 器 转 
发 DHCPRENEW 报 文 时 ,使 中 继 代 理 
插入 与 客户 端 关 联 的 其 他 中 继 代理 子 
选项 值 
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在 DHCPv6 内 部 ， 定 义 了 两 个 类 似 的 选项 。 
1) 代码 37 = Option_remote_id (选项 - 远 端 ID ) 。 
2) 代码 38 = Option_subscriber_id (选项 -订户 ID)。 
让 我 们 考虑 使 用 ISC DHCP 语法 (35) 的 一 个 范例 DHCP 服务 器 配置 ， 来 形象 地 
说 明 中 继 代 理 处 理 。 这 个 陈述 声明 了 类 “broadband” (宽带 ) ， 它 依据 的 是 中 继 代 理 
识别 选项 的 电路 ID 子 选项 。 这 里 ， 我 们 定义 单一 客户 端 类 ， 但 提供 子 类 来 识别 宽带 
类 的 特定 实例 。 在 这 个 情形 中 ， 我 们 为 电路 ID 子 选项 的 两 个 对 应 值 简单 地 定义 两 个 
子 类 。 
class “broadband” | 
match option agent. circuit- id; 
| 
subclass “modem” “45023” | 
[ declarations and parameters for modem devices ]/ * 调制 解 调 器 设备 的 声明 和 
参数 */ 
subclass “phone” “67032” { 
[ declarations and parameters for phone devices ]/* 电话 设备 的 声明 和 参数 * / 
} 
一 种 比较 具有 扩展 能 力 的 方法 将 是 利用 ISC DHCP 实现 的 类 衍生 特征 。 和 限制 租 
赁 或 可 指派 给 一 名 订户 的 IP 地 址 数量 的 能 力 一 起 ， 我 们 来 形象 地 说 明 这 点 。 一 个 基 
本 层次 的 服务 可 承诺 单一 IP 地 址 ， 而 一 个 较 高 层次 的 服务 (以 及 也 许 还 有 价格 ) 可 
包括 两 个 或 更 多 个 IP 地 址 。lease limit ( 租 期 限制 ) 语句 支持 在 ISC DHCP 配置 文件 
内 部 的 这 项 特征 控制 。 这 个 语句 可 与 一 个 客户 类 定义 关联 ， 来 指定 最 大 租 期 数 ， 可 用 
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于 提供 给 匹配 这 个 类 的 各 客户 端 。 

类 衍生 (spawning) 功能 可 依据 DHCP 报 文中 的 信息 ， 使 客户 端子 类 的 在 线 动态 
生成 或 产生 成 为 可 能 。spawn with (以 … 产 生 ) 声明 以 产生 所 依据 的 参数 定义 了 一 个 
产生 类 。 例 如 ，DHCP 服务 器 可 被 配置 为 : 依据 每 个 唯一 的 电路 ID 中 继 代 理子 选项 
值 来 产生 客户 端 类 。 因 此 ， 当 DHCP 服务 器 接收 到 一 条 DHCPDISCOVER 报 文 时 ， 它 
就 分 析 电 路 ID 子 选项 。 如 果 对 于 给 定 值 ， 存 在 一 个 类 〈 以 前 产生 的 ) ， 则 为 进行 处 
理 而 分 析 相 应 的 参数 和 声明 ; 如 果 不 存在 带 有 那个 电路 ID 的 一 个 类 ， 则 DHCP 服务 
器 为 给 定 值 产生 一 个 新 的 子 类 。 如 下 范例 形象 地 说 明了 带 有 一 个 衍生 子 类 的 一 个 宽带 
客户 端 类 的 定义 ， 它 依据 的 是 电路 ID ， 该 定义 使 用 ISC DHCP 语法 (35) ， 将 待定 的 
订户 租 期 限制 为 最 大 为 6。 

class “broadband” | 

spawn with option agent. circuit-id; 
lease limit 6; 


| 


6.3 有关 租 期 指派 或 限制 的 各 项 应 用 


依据 中 继 代 理 信 息 ， 使 用 租 期 限制 和 参数 设置 的 方法 ， 并 不 仅 适 用 于 宽带 环境 。 
其 他 应 用 也 可 使 用 相同 的 技术 ， 前 提 是 中 继 代理 支持 中 继 代 理 信息 选项 的 全 体 。 在 这 
种 情形 中 ， 使 用 ISC DHCP 服务 器 的 方法 ， 支 持 依据 所 定义 类 和 中 继 代理 信息 参数 ， 
进行 地 址 和 参数 指派 以 及 租 期 限制 。 这 项 技术 可 用 来 限制 某 些 子 网 上 的 地 址 指派 速 
度 ， 或 在 工厂 或 类 似 应 用 中 向 设备 提供 配置 参数 。 


6.4 预 启动 执行 环境 客户 端 


预 启动 执行 环境 (PXE 或 “Pixie”) 客户 端 是 这 样 的 设备 ， 它 依赖 于 网 络 服务 器 
而 不 是 一 块 共存 的 硬盘 来 启动 。 这 种 无 盘 服务 器 和 其 他 这 种 设备 典型 地 使 用 DHCP 来 
得 到 一 个 卫 地 址 和 启动 参数 (包括 启动 服务 器 地 址 和 启动 文件 名 ) 。DHCP 提供 了 一 
种 简便 的 机 制 ， 在 没有 人 工 介 入 的 情况 下 ,初始 化 这 些 设备 。 从 历史 角度 而 言 ，DH- 
CP 服务 器 必须 配置 每 个 PXE 客户 端的 MAC 地 址 ， 以 便 提供 特定 于 该 设备 的 配置 信 
息 ， 即 使 相同 “type” (类型) 的 多 个 PXE 客户 端 可 准确 地 利用 相同 启动 信息 时 也 是 
如 此 。 

RFC 4578! 是 一 个 信息 型 的 RFC， 它 定义 了 这 样 一 种 方式 ， 其 中 一 个 PXE 客户 
端 可 向 服务 器 标识 它 的 类 型 或 架构 。 这 个 信息 可 被 DHCP 服务 器 用 来 识别 并 提供 合适 
的 设备 初始 化 参数 。DHCP 服务 器 将 需要 配置 成 匹配 特定 的 客户 端 提供 的 PXE 选项 
值 ， 之 后 将 这 些 值 映射 到 配置 参数 或 选项 的 一 个 对 应 集合 ， 并 将 之 返回 给 客户 端 。 很 
自然 地 ， 这 由 使 用 客户 端 类 处 理 来 完成 的 。 

可 包括 在 PXE 客户 端 和 DHCP 服务 器 之 间 的 选项 如 下 。 
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(1) 选项 93 一 一 客户 端 系统 架构 类 型 一 一 指定 PXE 设备 的 架构 类 型 ， 并 必须 将 
其 包括 在 事务 过 程 中 的 所 有 DHCP 报 文 之 中 。 

1) Intel x86PC, 

2) NEC/PC98, 

3) EFI Itanium, 

4) DEC Alpha, 

5) Are x86, 

6) Intel Lean Client ( 瘦 客 户 端 ) o 

7) EFI IA32。 

8) EFI BC, 

9) EFX Xscale, 

10) EFI x86-64, 

(2) 选项 94 一 一 客户 端 网 络 接口 标识 符 一 一 识别 网 络 接口 类 型 和 版 本 ， 并 必须 
被 包括 在 事务 的 所 有 DHCP 报 文中 。 唯 一 定义 的 接口 类 型 是 用 于 统一 网 络 设 备 接 口 
(UNDI) 的 类 型 。 

(3) 选项 97 一 一 客户 端 机 器 标识 符 一 一 识别 机 器 启动 的 类 型 。 这 个 选项 采用 一 
个 类 型 和 标识 符 进行 编码 。 唯 一 定义 的 类 型 0， 指明 该 标识 符 被 编码 为 一 个 16 字 节 
的 全 局 唯一 标识 符 (GUID). 

(4) 选项 128 ~135 一 一 PXE 客户 端 请 求 这 些 选项 ， 如 果 需 要 的 话 ， 其 意图 是 用 
于 下 载 的 启动 程序 ， 虽 然后 来 并 没有 被 广泛 指派 为 PXE HR. 

要 小 心 注意 的 是 ， 使 用 选项 128 ~ 135 的 PXE 客户 端 可 能 与 汇总 于 第 4 章 中 这 些 
选项 的 其 他 被 指派 含义 相 冲 突 。 


6.4.1 PPP/RADIUS 环境 


RADIUS (远程 接 人 拨 入 用 户 服务 ) 协议 提供 了 认证 尝试 连接 到 一 个 网 络 的 端 用 
户 的 一 种 方法 。RADIUS 是 802. 1X 的 一 个 重要 组 成 ，802. 1X 是 在 主要 的 网 络 接纳 控 
fi] (NAC) 文献 内 提出 的 一 个 流行 的 层 2 媒介 接 人 控制 协议 。RADIUS 在 层 3 也 起 了 
一 定 作 用 ， 特 别 当 与 PPP 连接 一 起 使 用 时 更 是 如 此 ， 普 遍 情 况 下 与 拨号 或 DSL 连接 
一 起 使 用 。 

当 在 层 3 工作 时 ， 一 些 RADIUS 服务 器 可 被 配置 成 向 PPP 连接 另 一 端的 每 个 客户 
端 指派 IP 地 址 。 这 个 地 址 指派 过 程 可 由 服务 器 上 直接 配置 的 一 个 地 址 池 完 成 ， 或 配 
置 RADIUS 服务 器 通过 一 台 DHCP 服务 器 得 到 一 个 地 址 来 完成 。 在 后 一 种 场景 中 ， 
RADIUS 服务 器 的 功能 是 代表 客户 端的 一 个 DHCP 代理 。RADIUS 服务 器 发 起 DHCP 
D-0-R-A 过 程 ， 发 出 一 条 DHCPDISCOVER 报 文 。 采 用 这 种 方法 的 一 个 说 明 是 ，RA- 
DIUS 服务 器 必须 代表 每 个 客户 端 (目的 是 唯一 地 识别 这 些 客户 端 ) ， 产 生 一 个 硬件 
地 址 或 客户 端 标识 符 。 否 则 ， 将 会 使 用 RADIUS 服务 器 的 硬件 地 址 ， 这 时 DHCP 服务 
器 将 假定 同一 客户 端 会 不 断 地 重启 ， 并 在 所 有 请 求 上 指派 同一 IP 地 址 。RADIUS 服务 
器 可 使 用 一 种 内 部 机 制 来 伪造 客户 端的 硬件 地 址 ， 但 需要 将 推演 得 到 的 地 址 映射 到 端 
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客户 端 ， 以 便 处 理 如 刷新 和 释放 等 后 续 租 赁 事务 。 另 一 种 方法 是 利用 前 面 描 述 的 中 继 
代理 信息 选项 的 RADIUS 属性 子 选 项 ， 以 便 唯 一 地 识别 每 个 客户 端 。 


6.4.2 移动 IP 


移动 WP 为 一 台 IP Be PR PS EE, De PE — AS Hh Bk a P 网 络 周围 到 处 
移动 ， 提 供 了 一 种 机 制 。 这 种 移动 可 能 发 生 在 从 一 个 总 部 会 议 到 在 一 个 分 支 办 事 处 打 
开 一 个 新 会 话 的 一 个 通信 会 话 过 程 中 ， 即 不 仅 当 发 起 实施 一 个 会 话 及 之 后 终止 该 会 话 
(比如 ) 时 会 发 生 移动 。 移 动 设备 有 一 个 家 乡 地址 〈 对 应 于 其 家 乡 网 络 ) ， 还 有 一 个 
转交 地 址 ， 这 是 在 服务 网 络 上 得 到 的 〈 取 决 于 移动 设备 当前 连接 在 哪儿 ) 。 例 如 ， 如 
果 当 到 城镇 外 时 ， 我 打开 我 的 个 人 数字 助理 (PDA) 设备 ， 我 会 从 一 个 不 同 于 我 正常 
在 家 时 所 用 的 一 个 服务 提供 商 处 得 到 无 线 服务 。 只 要 我 的 家 乡 提供 商 与 我 正在 访问 的 
提供 商 有 服务 协议 (agreement) ， 我 就 应 该 能 够 手工 配置 、 通 过 DACP 或 通过 自动 配 
置 得 到 一 个 地 址 。 

IP 移动 性 在 IPv4 和 IPv6 之 间 多 少 存在 不 同 ， 但 这 两 个 协议 都 利用 了 如 下 概念 ， 
即 一 个 移动 节点 处 理 一 个 家 乡 地 址 〈 这 是 在 家 乡 网 络 上 的 节点 的 地 址 ) 和 一 个 转交 
地 址 〈 它 在 拜访 网 络 上 的 地 址 ) 。 虽 然 严格 意义 上 说 它 不 是 一 项 DHCP“ 应 用 ”, 但 
我 们 在 这 里 提 到 它 ， 是 就 地 址 分 配 和 指派 策略 而 言 ， 应 该 是 需要 考虑 的 一 个 领域 ， 并 
不 涉及 在 您 所 在 网 络 上 拜访 节点 的 访问 安全 性 问题 。 


第 7 合 DHCP 服务 器 部 署 策略 


本 章 详细 研究 DACP 的 部 署 策略 和 折 中 考虑 。 多 数 折 中 考虑 会 遇 到 预算 资金 和 服 
务 器 数量 的 陷阱 ， 所 以 最 普遍 的 目标 是 将 DHCP 服务 器 部 署 到 端 用 户 将 总 能 以 及 时 的 
方式 得 到 这 些 服务 的 位 置 ， 同 时 使 花 在 部 署 服务 器 和 相关 联 服 务 器 生命 周期 间 成 本 的 
总 资金 最 小 化 。 这 个 简单 陈述 的 目标 意味 着 对 高 可 用 和 合理 性 能 服务 的 需求 ， 这 些 都 
要 在 预算 约束 之 内 提供 。 预 算 资金 必须 不 仅 要 计算 服务 器 购买 费用 ， 而 且 要 计算 将 来 
的 支持 和 维护 费用 ， 这 包括 服务 器 硬件 升级 、 操 作 系统 (OS) 补丁 和 升级 以 及 新 功 
能 、 缺 陷 修正 或 安排 措施 的 DHCP 升级 。 


7.1 DHCP 服务 器 平台 


DHCP 服务 器 可 部 署 在 物理 硬件 服务 器 或 仪器 的 各 种 平台 上 或 部 署 为 一 个 虚拟 机 
(VM) 平台 上 的 虚拟 服务 器 。 当 我 们 讨论 部 署 可 能 选择 项 时 ， 我 们 比较 一 般 化 地 使 
用 “平台 ”这 个 术语 ， 在 每 种 情形 中 它 通常 被 解释 为 这 些 选项 之 一 。 


7.1.1 DHCP 软件 


部 署 DHCP 服务 器 的 传统 模型 需要 部 署 一 台 物 理 服务 器 (支持 建议 采用 的 处 理 组 
件 ) 和 操作 系统 (由 相应 的 DHCP 软件 厂商 支持 ) 。 为 了 最 大 化 硬件 利用 率 ， 在 这 样 
的 服务 器 上 也 可 安装 其 他 应 用 。 


7.1.2 虚拟 机 DHCP 部 署 


存在 可 用 于 主要 Windows 和 Linux 操作 系统 (OS) 各 版 本 的 虚拟 机 (VM) ， 这 
使 在 微软 VM 上 部 署 微软 DHCP 以 及 在 Linux VM 上 部 署 ISC 成 为 可 能 。 在 VM 上 部 署 
DHCP 的 做 法 ， 节 省 了 硬件 成 本 、 机 架空 间 和 电源 走 线 (draw), 同时 相 比 于 在 一 台 
通用 硬件 服务 器 上 安装 一 个 DHCP 守护 进程 的 做 法 ， 具 有 更 好 的 隔离 能 力 。 主 要 的 仪 
器 设备 厂商 也 将 他 们 的 仪器 设备 产品 以 虚拟 机 方式 提供 ， 这 将 VM 的 优势 与 仪器 设备 
的 优势 结合 起 来 ， 下 面 会 讨论 这 点 。 


7.1.3 DHCP 仪器 设备 


DHCP 仪器 设备 是 预 装 DHCP 服务 于 安全 的 硬件 平台 上 ， 典 型 见 到 的 是 基于 Intel 
的 带 有 硬化 (hardened) Linux 操作 系统 的 平台 。 就 像 路 由 器 一 样 ， 它 们 初始 情况 下 
是 部 署 为 运行 于 通用 硬件 上 的 软件 ， 之 后 演化 为 特殊 用 途 的 硬件 平台 ，DHCP 仪器 设 
备 提 供 了 DHO 服务 自 包含 硬件 平台 的 一 条 演进 路 径 。 仪 器 设备 被 “硬化 ”是 指 ， 
安装 在 平台 上 的 基本 Linux 内 核 被 剥 除了 任何 不 必要 的 服务 。 这 样 得 到 的 是 一 个 定制 
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化 的 内 核 和 0S， 它 仅 支 持 DHCP 服务 (以 及 由 厂商 支持 的 其 他 服务 ,例如 DNS) 。 仪 
器 设备 厂商 也 应 该 相应 地 也 削减 掉 了 底层 文件 系统 、 用 户 、 权 限 和 网 络 端口 。 

仪器 设备 提供 一 站 式 购买 的 简化 部 署 方法 ， 而 不 是 不 得 不 协调 并 采购 服务 器 硬 
件 、 安 装 合适 的 OS 版 本 和 对 应 的 补丁 (patch level) ， 之 后 安装 DHCP 服务 软件 。 仪 
器 设备 可 简化 将 来 的 升级 过 程 ， 方 法 是 对 带 有 符合 要 求 的 OS 和 相应 硬件 平台 的 服务 
版 本 的 升级 (程序 ) 进行 预 打包 处 理 。 取 决 于 厂商 ， 这 些 升级 可 从 单一 中 心 式 控制 
台 实 施 ， 这 种 做 法 免除 了 物理 上 安排 人 员 来 实施 升级 的 需求 。 另 外 ， 多 数 厂 商 支 持 所 
部 署 仪器 设备 的 中 心 式 监测 ， 这 使 中 断 或 性 能 降级 的 提前 (proactive) 检测 成 为 
可 能 。 

当然 通常 来 说 ,仪器 设备 要 比 通用 服务 器 硬件 成 本 高 ， 而 且 多 数 都 集成 ISC DH- 
CP 服务 ， 对 于 多 数 占 主导 地 位 的 OS 来 说 它 是 可 免费 获得 的 ， 网 址 是 www. isc. org. 
在 本 章 中 ， 我 们 将 焦点 放 在 DHCP 服务 的 部 署 策 略 上 ， 而 不 考虑 是 在 通用 硬件 还 是 在 
仪器 设备 平台 上 的 实现 方法 。 


7.2 中 心 式 DHCP 服务 器 部 署 


一 般 说 来 ，DHCP 服务 器 的 部 署 归结 为 如 下 两 方面 的 折 中 考虑 ,一 是 “比较 靠 
近 ” 客 户 端的 大 量 服务 的 广泛 部 署 分 配 (distribution) ， 一 是 从 各 种 位 置 来 服务 客户 
端的 少量 DHCP 服务 器 的 范围 受 限 的 (narrow) 部 署 分 配 。 这 种 折 中 考虑 的 极端 情况 
是 ， 其 一 在 每 个 子 网 上 有 一 台 DHCP 服务 器 ， 其 二 是 一 台 或 多 台 DHCP 服务 器 处 于 中 
心 位 置 ， 服 务 机 构 组 织 的 所 有 客户 端 。 关键 是 在 客户 端 和 服务 器 间 的 DHCP 服务 的 可 
用 性 和 合理 的 性 能 之 间 做 出 平衡 ， 而 同时 要 保持 在 服务 器 和 由 此 导致 的 可 预见 未 来 管 
理 预算 约束 之 内 。 您 所 做 的 部 署 将 极 可 能 处 在 这 两 种 极端 情况 之 间 。 
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图 7-1 IPAM 全 球 公司 的 中 心 式 DHCP 服务 器 部 署 


图 7-1 形象 地 说 明了 IPAM 全 球 公 司 的 完全 中 心 式 部 署 方法 的 场景 。 这 个 场景 重 
RES 3 章 图 3-2 的 高 层 网 络 图 之 上 ， 其 特征 是 每 个 区 域 部 署 一 对 DHC 服务 器 ， 一 


Ar 
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台 服 务 器 作为 主 服务 器 ， 另 一 台 服 务 器 作为 故障 切换 或 备份 之 用 。 所 有 DHCP 流量 必 
须 以 隧道 方式 传输 到 区 域 总 部 站 点 ， 对 从 相应 区 域 到 这 些 站 点 的 鲁 棒 网 络 连接 形成 较 
高 的 依赖 。 这 个 架构 也 意味 着 DHCP 服务 器 硬件 是 足够 强大 的 ， 从 而 可 满足 性 能 和 容 
量 需 求 。 注 意 ， 通 常情 况 下 ，DHCP 主 服务 器 和 故障 切换 服务 器 应 该 部 署 在 不 同 的 物 
理 位 置 上 ， 以 便 具 备 抑 制 灾难 的 能 力 。 在 一 个 地 点 的 〈 线 路 ) 中 断 将 不 会 中 断 一 个 
区 域 的 所 有 DHCP 服务 。 


7.3 分 布 式 DHCP 服务 器 部 署 


在 部 署 连续 体 (continum) 的 另 一 端 ， 去 中 心 化 部 署 方法 如 图 7-2 所 示 。 在 这 个 
图 中 ， 一 台 主 DHCP 服务 器 位 于 [附近 的 ] 每 个 分 支 办 事 处 和 配送 中 心 处 。 这 使 DH- 
CP 流量 局 部 化 ， 使 用 性 能 不 太 高 的 DHCP 服务 器 的 部 署 就 可 满足 需求 。 但 是 由 于 
DHCP 故障 切换 服务 器 的 存在 ， 就 仍然 具备 连通 到 区 域 总 部 的 网 络 能 力 。 这 些 服务 器 
可 作为 区 域 服务 器 的 故障 切换 服务 器 ， 虽 然 出 于 负载 分 担 考虑 ， 每 个 区 域 要 求 一 台 以 
上 的 服务 器 。 考 虑 到 负载 和 宛 余 能 力 ， 您 所 选中 的 DHCP 厂商 要 具备 针对 您 的 网 络 识 
别 确定 可 行 蔡 代 架构 的 能 力 。 
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图 7-2 IPAM 全 球 公司 的 分 布 式 DHCP 服务 器 部 署 


比较 图 7-1 和 图 7-2 的 两 种 极端 情况 ， 前 者 要 求 较 少 的 、 但 更 加 强大 的 DHCP 服 
务 器 和 到 区 域 总 部 地 点 的 坚固 的 (rock solid) 网 络 连 通 性 。 后 者 则 要 求 更 多 的 DHCP 
服务 器 ， 但 却 是 比较 中 等 (modest) 性 能 规格 的 ， 以 一 种 网 络 可 达 的 共享 备份 方法 提 
供 局 部 化 的 服务 。 您 可 能 会 存在 疑问 的 是 ， 如 果 到 一 个 站 点 的 网 络 链 路 中 断 ， 那 么 从 
一 台 DHCP 服务 器 处 得 到 一 个 IP 地 址 有 什么 益处 呢 ? 在 没有 一 条 元 余 链 路 的 情况 下 ， 
除了 提供 到 局 部 网 络 资源 的 卫 接 人 外 ， 它 确实 只 有 有 限 的 价值 。 但 在 中 心 化 的 架构 
中 ， 而 没有 分 布 式 站 点 时 ， 如 果 到 一 个 区 域 总 部 站 点 的 一 条 链 路 出 现 故障 ， 那 么 要 求 
新 的 或 刷新 地 址 租 期 的 各 客户 端 将 极 可 能 变 得 一 无 用 处 。 这 和 总 是 常 有 的 事情 那样 ， 
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必须 考虑 折 中 处 理 方法 ， 通 常 是 中 心 化 与 至 少 部 分 分 布 相 结合 的 一 种 混合 法 ， 常 常会 
使 总 体 中 断 风 险 最 小 化 。 

虽然 ISC DHCP 服务 器 是 单一 线程 的 应 用 ,但 对 于 多 数 环境 而 言 ， 其 性 能 通常 是 
足够 用 的 。 但 是 ， 如 果 您 有 数 千 台 DHCP 客户 端 尝 试 在 大 约 同 一 时 间 获 取 地 址 租赁 ， 
则 将 可 能 会 有 一 些 延 迟 。 如 果 频 繁 地 出 现 这 种 情况 ， 则 您 可 能 想 考 虑 部 署 附加 的 服务 
器 ， 并 分 割 为 每 服务 器 所 服务 网 络 的 较 精细 粒度 ， 以 便 降 低 每 服务 器 的 负载 。 同 样 ， 
通常 这 不 是 一 个 主要 担忧 的 问题 ， 除 非 您 是 一 个 服务 提供 商 ， 正 利用 DHCP 为 付 过 钱 
的 订户 初始 化 如 客户 端 调制 解 调 器 的 设备 ， 这 时 会 成 为 一 个 令 您 担忧 的 问题 。 在 从 一 
个 临近 区 域 的 电源 中 断 恢复 之 后 ， 各 设备 将 启动 恢复 ， 并 为 得 到 地 址 而 发 出 请 求 ， 这 
就 淹没 了 DACP 服务 器 。 在 这 样 的 环境 中 ， 考 虑 使 用 一 台 商 用 的 面向 性 能 的 DHCP 服 
务 器 ， 也 许 是 有 道理 的 。 

通过 配置 您 的 DHCP 服务 器 (在 您 路 由 器 的 中 继 代理 列表 内 ) 的 人 P 地 址 ,使 您 
的 服务 器 准备 好 支持 DHCP。 在 每 台 路 由 器 内 的 这 些 列表 ， 使 路 由 器 可 终止 接收 到 的 
DHCPDISCOVER 报 文 广播 ， 之 后 作为 单 播报 文 ， 将 之 重 传 到 其 中 继 代理 列表 上 的 每 
台 配 置 过 的 DHCP 服务 器 了 地址。 如果 您 将 网 络 分 隔 开 ， 从 而 使 一 个 给 定 的 DHCP 
服务 器 服务 某 些 子 网 的 地 址 池 ， 而 其 他 子 网 的 地 址 池 由 另 一 台 DHCP 服务 器 服务 ， 要 
确信 您 相应 地 配置 服务 那些 子 网 的 路 由 器 。 您 可 向 所 有 路 由 器 添加 所 有 的 DHCP 服务 
器 ， 但 这 将 导致 不 必要 的 中 继 代理 流量 ， 特 别 当 您 有 几 台 DHCP 服务 器 时 尤其 如 此 。 
用 于 IPv6 网 络 的 DHCP 利用 周知 的 组 播 地 址 ， 这 消除 了 在 路 由 器 上 配置 中 继 代理 列 
表 的 需求 ， 虽 然 这 样 的 配置 也 可 在 中 继 代理 上 执行 ， 从 而 可 控制 哪些 DHCPv6 服务 器 
来 处 理 中 继 的 DHCP 事务 ， 而 不 仅 是 在 这 个 组 播 地 址 上 侦 听 的 任何 一 台 DHCPv6 服 
务 器 。 


7.4 服务 器 部 署 设计 考虑 


当 形 成 DHCP 服务 器 部 署 设计 时 ， 主 要 考虑 因素 包括 如 下 。 

1) 响应 时 间 要 求 。 您 的 客户 端 有 严格 的 响应 时 间 要 求 吗 ? 多 数 流行 的 客户 端 容 
忍 秒 级 的 响应 时 间 ， 但 某 些 应 用 要 求 可 能 比较 高 。 您 的 要 求 越 严 格 ， 则 服务 器 性 能 越 
重要 ， 也 许 客户 端 邻 近 性 就 越 重要 。 

2) 负载 要 求 。 您 有 必须 处 理 的 某 些 负载 条 件 吗 ? 对 于 利用 DHCP 作为 一 种 顾客 
端 设备 (CPE) 初始 化 技术 的 宽带 服务 提供 商 而 言 ， 在 从 驻地 电力 中 断 或 设备 安装 或 
重启 中 恢复 时 ， 可 能 发 生 负 载 尖 峰 (spike)。 对 于 企业 环境 ， 如 果 几 名 同事 在 同一 时 
间或 几乎 同一 时 间 到 达 ， 这 样 的 尖峰 会 发 生 在 工作 日 的 开始 时 间 ， 虽 然 这 时 许多 设备 
将 简单 地 尝试 刷新 以 前 缺 省 使 用 的 一 个 IP 地 址 。 

3) 流量 预期 。 您 利用 短 的 租赁 时 间 来 最 小 化 监管 工作 吗 (这 会 导致 更 频繁 的 刷 
新 尝试 )? 一 般 而 言 ， 租 赁 时 间 (Tl 和 T2 时 间 ) 越 短 ， 则 得 到 租赁 和 后 续 租赁 刷新 
尝试 之 间 的 间隔 就 越 短 。 这 是 来 去 DHO 服务 器 (可 能 是 多 人 台 ) 的 网 络 上 的 流量 增 
加 ， 当 就 前 面 提 到 的 响应 时 间 要 求 以 及 服务 器 数量 和 相关 联 带宽 的 负载 要 求 ， 进 行 设 
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计时 ， 就 必须 考虑 流量 。 

4) 可 用 性 要 求 。 您 的 客户 端 事实 上 不 得 不 通过 DHCP 24 x7 或 是 基于 “尽力 而 
为 ”服务 ,来 得 到 一 个 IP 地 址 或 配置 吗 ? 大 部 分 人 将 回答 ， 高 可 用 性 是 至 关 重 要 的 ， 
但 随 着 各 设备 变 得 逐渐 都 是 多 网 络 连接 的 情况 出 现 ， 只 要 一 个 网 络 的 地 址 指派 机 制 是 
可 用 的 ， 则 这 就 是 可 接受 的 >。 平 均 修复 时 间 (MTTR) 是 满足 DHCP 服务 可 用 性 目 
标的 另 一 项 考虑 因素 。 在 本 地 有 一 台 备用 的 服务 器 ， 会 缩短 MTTR， 同 时 不 得 不 定购 
一 台 蔡 代 设 备 ， 也 将 延迟 这 个 过 程 。 

上 面 的 前 三 个 考虑 因素 与 给 定 租赁 分 发 速率 的 足够 数量 服务 器 部 署 有 关 ， 其 目的 
是 满足 相应 的 性 能 目标 。 一 个 好 的 起 点 是 ,在 您 的 网 络 上 每 个 站 点 处 识别 出 期 望 的 
DHCP 客户 端 数量 。 这 个 数 应 该 统计 要 求 DACP 服务 的 所 有 设备 ， 包 括 数 据 设 备 、 语 
音 设备 以 及 在 每 个 站 点 要 求 DHCP 服务 的 所 有 IP 设备 。 不 要 忘记 统计 用 户 和 设备 的 
“峰值 ”数量 ， 从 而 使 每 个 人 ， 甚 至 临时 访问 的 同事 ， 也 可 得 到 一 个 有 效 的 租赁 。 

在 统计 DHCP 客户 端的 峰值 数量 之 后 ， 考 虑 DACP 事务 的 频率 。 这 将 取决 于 您 的 
租赁 时 间 和 客户 端 租 赁 释放 配置 。 例 如 ， 多 数 客 户 端 将 “ 记 住 ”一 个 以 前 的 租赁 ， 
当 雇 员 第 二 天 回 到 办 公 室 工作 时 ， 在 开机 时 尝试 请 求 该 租赁 ， 虽 然 情况 并 不 总 是 这 
样 的 。 

上 面 列 出 的 第 四 项 考虑 因素 与 为 DHCP 客户 端 提供 高 可 用 性 的 DHCP 服务 有 关 。 
给 定 提供 高 可 用 DHCP 服务 的 一 般 重 要 性 后 ， 则 典型 情况 下 建议 为 高 可 用 性 而 实施 部 
署 。 一 旦 您 依据 性 能 要 求 ， 设 计 部 署 方案 后 ， 就 可 计划 总 的 或 有 选择 的 (selective) 
高 可 用 性 。 依 据 您 计划 部 署 的 服务 器 技术 ,高 可 用 性 的 实施 (implementation) 将 不 
仅 影 响 所 需要 的 服务 器 数量 ,而 且 可 能 影响 您 的 地 址 空间 规划 。 

ISC DHCP 实现 和 微软 DHCP 实现 利用 的 是 极其 不 同 的 方法 。ISC 服务 器 利用 一 个 故 
障 切换 协议 ” ， 从 而 对 于 一 个 给 定 的 地 址 池 ， 一 台 DHCP 服务 器 将 作为 主 服务 器 ， 而 第 二 
台 DHCP 服务 器 将 作为 备份 服务 器 或 故障 切换 服务 器 。 这 个 基本 配置 如 图 7-3 所 示 。 
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图 7-3 ISC DHCP 故障 切换 基本 配置 





日 ”当然 这 个 论断 假定 不 同 的 DACP 服务 来 服务 这 些 不 同 的 接口 ， 也 许 情况 不 是 这 样 。 
© ISC 实现 基于 IETF 的 RFC 草案 规范 ， 这 些 草案 大 部 分 被 搁置 。 但 是 ，IETF 正在 尝试 重新 定义 
DHCP 故障 切换 协议 ，ISC 计划 实现 新 的 版 本 ， 同 时 也 支持 当前 基于 RFC 草案 的 实现 。 
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每 个 中 继 代理 必须 配置 成 将 接收 到 的 DHCP [对 于 Pv4] 广播 报 文 ， 单 播 到 主 
DHCP 服务 器 和 故障 切换 DHCP 服务 器 ， 在 图 7-3 中 是 172. 20. 10. 1 和 172. 24. 10.1, 
回顾 一 下 ，DHCPv6 中 继 代 理 将 类 似 地 (likewise) 被 配置 DHCPv6 服务 器 地 址 ， 或 利 
用 一 个 周知 的 站 点 范围 组 播 地 址 FF05:: 1; 3。DHCP 服务 器 利用 一 个 故障 切换 协议 ， 
从 而 可 使 主 服务 器 发 送 心跳 消息 和 租赁 绑 定 信息 给 故障 切换 服务 器 。 故 障 切换 服务 器 
利用 用 户 可 设置 的 参数 ， 来 确定 主 服务 器 下 线 了 ， 并 开始 处 理 来 自 中 继 代 理 (可 能 
是 多 台 ) WAR DHO 报 文 。 因 此 ， 不 管 主 服务 器 下 线 的 事实 ， 各 客户 端 仍然 能 够 继 
续 接 收 IP 地 址 和 参数 指派 。 一 旦 恢复 ， 主 服务 器 从 故障 切换 服务 器 得 到 当前 的 租赁 
数据 库 ， 之 后 再 次 将 其 角色 设置 为 主 服务 器 。 

微软 的 方法 并 不 利用 一 种 像 DHCP 故障 切换 的 服务 器 间 协 议 。 相 反 ， 通 过 部 署 
具有 互补 地 址 池 (不 是 相同 的 地 址 池 ) 的 两 台 DHCP 服务 器 ， 在 不 用 担心 重复 指 
派 的 情况 下 ， 任 何 一 台 服 务 器 均 可 处 理 DHCP 事务 。 微 软 建议 使 用 “80-20 规则 ”， 
在 一 台 “ 本 地 ”服务 器 上 配置 地 址 池 的 80% ， 在 一 台 “ 远 端 ” 服 务 器 上 配置 地 址 
池 的 20% 。 采 取 这 种 方式 ， 假 定 客户 端 将 首先 从 本 地 服务 器 接收 到 地 址 提供 ， 并 
接受 该 地 址 ， 这 种 情况 下 ， 多 数 DHCP 事务 将 被 本 地 服务 器 所 处 理 。 在 图 7-4 中 形 
象 地 说 明了 这 种 配置 ， 其 中 我 们 使 用 80/20 指导 原则 将 172. 20. 0. 10 ~ 200 地 址 池 
进行 了 分 割 。 


mae 微软 DHCP 服 务 器 
(本 地 ) 






172.20.10.5 
池 172.20.0.10-160 


中 继 DHCP 
发 现 ( 单 播 ) 








DHCP 客 户 端 GIAddr:172.20.0.1 
DHCP 服 务 器 
172.20.10.5 


微软 DHCP 服 务 器 
172.24.10.5 ( 远 端 ) 


172.24.10.5 
池 172.20.0.161-200 


图 7-4 分 割 范 围 的 配置 场景 


就 像 图 7-3 中 的 ISC 故障 切换 配置 一 样 ， 每 个 中 继 代理 都 需要 配置 本 地 和 远 端 微 
$k DHCP 服务 器 的 地 址 。 对 于 有 关 的 子 网 172. 20. 0.0， 每 台 DHCP 服务 器 都 配置 一 个 
地 址 池 ，, 但 地 址 范围 是 不 重 全 的。 在 这 个 范例 中 ， 我 们 为 成 对 的 微软 DHCP 服务 器 ， 
使 用 与 图 7-3 中 ISC 范例 所 用 同样 的 总 地 址 池 大 小 。 因 为 两 台 服 务 器 都 需要 满足 容量 
需求 ， 所 以 如 果 一 台 服 务 器 失效 时 ， 您 就 将 面临 不 能 满足 卫 地 址 需求 的 局 面 。 另 一 
种 替代 方法 是 以 所 要 求 本 地 容量 的 100% 配置 该 本 地 DHCP 服务 器 ， 并 人 允许 额外 地 址 
溢出 到 远 端 服务 器 ， 进 行 备份 。 采 取 这 种 方式 ， 本 地 服务 器 可 处 理 100% WAH, A 
当 本 地 服务 器 不 可 用 时 ， 远 端 服 务 器 可 协助 处 理 一 定 比例 的 那些 额外 客户 端 。 人 参见 图 
7-4, 本 地 服务 器 可 配置 有 地 址 池 172.20.0.10 ~ 200, 远 端 服务 器 配置 有 
172. 20. 0. 201 ~254。 这 个 额外 的 容量 范围 可 高 达 100% 的 所 需 容量 ， 从 而 在 将 所 需 地 
址 空间 翻 倍 的 代价 下 提供 100% 的 元 余 。 虽 然 是 由 微软 公司 普及 推广 的 ， 但 分 割地 址 
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范围 的 方法 可 用 于 各 厂家 的 DHCP 服务 器 。 

从 安全 角度 而 言 ，DHCP 认证 的 实现 没有 被 广泛 地 商业 化 。 因 此 ， 对 于 确保 DH- 
CP 事务 本 身 的 安全 而 言 ， 几 乎 不 存在 可 行 的 安全 措施 。 对 于 企业 网 络 而 言 ， 这 也 许 
不 是 主要 担忧 的 问题 ， 其 中 提供 DHCP 用 于 内 部 用 途 ， 但 如 果 在 不 知情 的 情况 下 在 其 
机 器 上 启动 一 项 DHCP 服务 时 ， 这 可 能 就 是 有 问题 的 了 。 也 许多 数 用 户 不 会 安装 一 个 
DHCP 服务 器 ,但 那些 具有 ( 自 感知 (self-perceived)) IT 专业 知识 的 人 就 可 能 安装 
这 样 的 DHCP 服务 器 。 

对 于 使 用 DHCP 来 初始 化 顾客 端 (customer) 设备 的 服务 提供 商 网 络 而 言 ， 服 务 
提供 商 网 关 或 边缘 设备 的 使 用 ， 可 提供 地 址 指派 的 DHCP 客户 端 有 效 性 的 某 些 保障 。 
将 DHCP Hii (tying) 到 配置 准备 过 程 ， 可 帮助 将 一 个 DHCP 客户 端 与 一 个 支付 过 
(paying) 的 订户 标识 符 相 关 ， 从 而 使 服务 的 被 盗窃 使 用 可 能 性 最 小 化 。 

DHCP 本 身 可 被 当做 “安全 ”网 络 访问 的 一 种 方法 ,措施 是 确定 一 个 给 定 DHCP 
客户 端 是 否 满足 被 网 络 接纳 的 可 接受 准则 ， 这 是 就 服务 器 的 IP 地 址 指派 而 言 的 。 这 
提供 了 网 络 访问 控制 的 一 种 形式 ， 虽 然 它 并 不 能 防止 IP 地 址 伪造 者 的 行为 。 在 下 一 
章 将 讨论 访问 控制 安全 的 DHCP 配置 。 


7.5 在 边缘 设备 上 部 署 DHCP 


多 数 路 由 器 厂商 是 将 一 项 DHCP 服务 作为 其 路 由 器 平台 的 一 个 组 件 提供 的 。 这 
可 能 使 人 们 质疑 ， 即 为 了 支持 DHCP 服务 ， 是 否 需要 一 个 独立 的 服务 器 。 就 多 数 设 
计 问 题 而 言 ， 答 案 是 “要 看 情况 而 定 ”。 有 数 个 站 点 的 小 型 环境 ， 它 有 本 地 服务 器 
服务 100 个 左右 的 不 可 分 的 (monolithic) 客户 端 ， 每 个 客户 端 均 可 由 配置 路 由 器 
提供 DHCP 服务 ， 而 得 到 地 址 服务 。 但 是 ， 较 大 型 的 组 织 机 构 或 那些 要 求 更 高 级 
DHCP 服务 的 企业 ， 为 了 区 分 语音 和 数据 客户 端 ， 以 便 进行 地 址 和 选项 参数 指派 ， 
这 时 部 署 分 离 的 〈 没 有 集成 在 路 由 器 内 ) DHCP 服务 器 ， 这 些 客户 端 将 得 到 更 好 的 . 
服务 。 

在 一 台 路 由 器 设备 上 运行 DHCP 的 优势 包括 如 下 方面 。 

1) 较 低 的 硬件 成 本 。 不 需要 采购 一 台 服 务 器 或 一 组 服务 器 。 

2) 单一 用 户 界面 。 同 一 命令 行 界面 可 被 用 来 配置 路 由 器 和 DHCP 服务 器 ， 不 需 
要 中 继 代 理 配 置 。 

3)“ 较 少 的 移动 部 件 ”。 为 执行 DHCP 功能 ， 要 求 的 通信 链 路 和 服务 器 都 要 少 一 
条 链 路 和 一 台 服 务 器 ， 一 般 来 说 ， 这 可 增加 整体 解决 方案 的 可 靠 性 。 

在 一 台 路 由 器 上 运行 DHCP 的 主要 劣势 如 下 。 

1) 选项 支持 。 多 数 基 于 路 由 器 的 DHCP 服务 器 是 原始 的 ， 它 支持 地 址 指派 ， 但 
在 选项 支持 方面 几乎 没有 。 

2) 客户 端 类 支持 。 主 要 厂商 不 支持 客户 端 类 ， 而 这 对 于 区 分 将 地 址 /选项 指派 
到 不 同 设备 (例如 VoIP 设备 和 数据 设备 ) 来 说 ， 是 必需 的 。 

3) 没有 故障 切换 。 如 果 一 台 路 由 器 失效 ， 则 您 在 任何 情况 下 都 可 能 丢失 连接 能 
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力 , 但 如 果 出 于 元 余 性 考虑 ， 有 两 台 路 由 器 服务 一 个 子 网 ， 则 必须 采用 一 种 分 割地 址 
范围 的 方法 ， 这 就 增加 了 管理 复杂 性 。 

4) 没有 中 心 化 的 管理 。 基 于 路 由 器 的 DHCP 服务 ， 是 通过 命令 行 配置 的 ， 除 非 
采用 一 个 中 心 化 的 工具 ， 和 否则 就 P 寻 址 规划 而 言 ， 就 必须 手工 地 配置 每 台 DHCP 服 
务 器 ; 如 果 使 用 多 个 路 由 器 厂家 的 产品 ， 则 不 太 可 能 存在 这 方面 的 技术 支持 。 


第 8 章 DHCP 和 网 络 接 入 安全 


安全 位 于 每 个 全 规划 人 员 网 络 担忧 问题 列表 的 首位 或 接近 首位 之 处 。IP 地 址 管 
理 有 关 的 安全 话题 也 不 例外 。DHCP 信息 方面 存在 许多 安全 威胁 ， 在 与 那些 请 求 的 信 
息 通 信 中 也 同样 存在 安全 威胁 。 另 外 ， 考 虑 为 接 入 到 网 络 而 分 发 IP 地 址 过 程 中 DHCP 
所 扮演 的 角色 ， 就 其 固有 的 功能 来 说 ，DHCP 服务 自身 在 提供 网 络 接 人 控制 (NAC) 
的 一 个 基本 层次 中 扮演 了 一 种 关键 角色 。 您 将 配置 DHCP， 使 之 向 任何 请 求 一 个 地 址 
的 设备 提供 一 个 IP 地 址 吗 ? 抑或 您 将 配置 一 种 更 有 区 分 能 力 (discriminating) 的 策 
略 ? 本 章 将 首先 深入 探究 网 络 接 人 控制 领域 ， 讨 论 部 署 审慎 精细 地 址 指派 策略 的 通用 
战略 原则 。 之 后 我 们 将 讨论 DHCP 信息 和 通信 安全 的 战术 方法 。 


8.1 网 络 接 入 控制 9 


NAC 这 个 术语 是 最 近 几 年 才 流行 起 来 的 ， 但 其 蕴含 的 概念 是 本 质 上 的 : 在 提供 
这 样 的 接 人 访问 之 前 ， 识 别 是 谁 正 在 尝试 接 人 到 您 的 网 络 。 就 提供 各 种 层次 的 接 人 控 
制 能 力 而 言 ， 存 在 各 种 技术 。 我 们 将 首先 开始 分 析 基 于 DHCP 的 接 入 控制 ， 必 须 承认 
(admittedly) WH, ER NAC 中 较 脆 弱 的 方法 。 之 后 我 们 将 谈 到 更 广泛 可 用 的 
(wide-reaching) 技术 。 


8.1.1 采用 DHCP 的 区 分 性 地 址 指派 


让 我 们 首先 将 焦点 放 在 DHCP 服务 以 及 实现 区 分 性 地 址 指派 的 一 些 方法 上 。 存 在 多 
数 DHCP 解决 方案 都 提供 的 几 个 层次 的 策略 或 控制 ， 用 于 区 分 是 “ 谁 正 在 请 求 ”一 个 
IP 地 址 (通过 DHCP) 。 第 一 种 方法 是 简单 地 依据 客户 端 标识 符 的 一 个 可 用 形式 (例如 
请 求 一 个 IP 地 址 之 客户 端的 MAC 地 址 ) 来 过 滤 请 求 。 回 顾 一 下 ，MAC 地 址 是 在 一 条 
DHCPv4 报 文 的 客户 端 硬件 地 址 (chaddr) 字段 中 找到 的 。DHCPv6 设备 标识 符 由 设备 
ME— ID (DUD) 和 身份 关联 (IA) 组 成 ， 这 两 者 分 别 识别 每 个 客户 端 和 接口 。 

如 果 DHCP 服务 器 有 可 接受 (和 /或 不 可 接受 ) 设备 标识 符 的 一 个 列表 ， 则 它 可 
如 此 配置 ， 即 向 拥有 一 个 可 接受 标识 符 的 那些 客户 端 提供 某 个 卫 地 址 和 相关 联 的 参 
数 ， 不 向 那些 没有 一 个 可 接受 设备 标识 符 的 客户 端 提供 IP 地 址 ， 或 仅 提供 有 限 功 能 
的 卫 地 址 。 使 用 “有 限 功 能 的 IP 地址 ”说 法 ,我 们 指 预先 配置 网 络 路 由 基础 设施 ， 
使 之 路 由 的 IP 报 文具 有 仅 到 某 些 网 络 的 源 P 地 址 〈 例 如 仅 到 因特网 ， 或 甚至 哪里 也 
去 不 了 ) 。 例 如 ， 带 有 源 地 址 A 的 一 条 IP 报 文 在 企业 网 上 是 可 路 由 的 ， 而 带 有 源 地 址 
B 的 一 条 IP 报 文 仅 可 路 由 到 因特网 。 


四 ”本章 中 的 材料 依据 的 是 参考 文献 [11] 第 9 章 
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如 我 们 在 第 4 章 讨论 的 ， 通 过 在 请 求 一 个 IP 地 址 的 设备 的 客户 端 类 上 实施 过 滤 ， 
也 可 得 到 这 种 类 型 的 卫 地 址 和 配置 指派 。 某 些 客户 端 ， 例如 VoIP 电话 ， 当 请 求 一 个 
IP 地 址 时 ， 在 DHCP 报 文 的 厂商 类 标识 符 字段 提供 有 关 自 己 的 额外 信息 。 也 可 使 用 用 
户 类 标识 符 字段 。DHCP 服务 器 可 被 配置 成 识别 网 络 上 设备 的 用 户 类 和 /或 厂商 类 ， 以 
便当 设备 请 求 IP 地 址 和 配置 参数 时 ， 向 DHCP 服务 器 提供 额外 信息 。 可 从 某 个 地 址 池 
指派 地 址 ， 同 时 可 通过 标准 的 或 厂商 特定 的 DHCP 选项 向 客户 端 指派 附加 的 配置 参数 。 

通过 对 请 求 一 个 IP 地 址 的 机 器 的 用 户 进行 认证 ， 则 另 一 种 层次 的 区 分 IP 地 址 指 
派 也 是 可 能 的 。 这 项 功能 可 与 前 面 描述 的 设备 标识 符 和 客户 端 类 区 别 指派 法 一 起 使 
用 。 例 如 ， 如 果 带 有 一 个 未 知 的 或 不 可 接受 的 设备 标识 符 的 一 个 客户 端 ， 尝 试 得 到 一 
个 也 地 址 ,一 种 操作 选项 是 完全 地 拒绝 一 个 地 址 ; 另 一 种 操作 选项 是 要 求 该 客户 端 
的 用 户 通 过 一 个 安全 的 访问 万 维 网 门户 页 面 进行 登陆 。 

对 于 您 所 在 网 络 的 合法 用 户 而 言 ， 这 使 其 比较 容易 地 捕获 新 的 设备 标识 符 〈 即 
有 时 插入 新 的 接口 卡 的 那些 用 户 ) MA perl 脚本 (例如 NetReg (90)) 到 复杂 的 集成 
软件 解决 方案 的 各 种 方案 都 是 存在 的 ， 可 用 来 将 这 样 的 用 户 定 向 到 一 个 登录 /口令 请 
求 网 页 。 之 后 ， 对 存 有 合法 用 户 信息 的 一 个 数据 库 的 一 条 简单 查询 ， 可 允许 (或 拒 
绝 ) 客户 端 访问 一 个 生产 (production) IP 地 址 。 这 些 系统 典型 地 与 图 8-1 所 示 的 报 
文 流 是 一 致 的 ” 。 
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图 8-1 基本 DHCP 受 控 门户 流 图 [11] 


按照 这 个 流 图 的 顺序 ， 流 程 开 始 时 ， 是 一 个 设备 连接 到 网 络 ， 尝 试 通过 DHCP 得 
到 一 个 地 址 。DHCP 服务 器 ,利用 上 面 讨论 的 设备 标识 符 或 客户 端 类 -类 型 过 滤 法 ， 


日” 给 出 了 DHCPv4 的 过 程 ， 而 DHCPv6 可 利用 一 个 相当 的 报 文 流 。 
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确定 该 设备 是 否 为 一 个 已 知 的 用 户 设 备 ”。 如 果 该 设备 是 已 知 的 或 以 其 他 方式 已 经 被 
认证 过 ， 那 么 DHCP 过 程 可 继续 给 出 一 个 生产 IP 地 址 的 一 条 提供 报 文 (Offer) ， 接 着 
后 跟 一 条 请 求 和 一 条 确认 。 但 是 ， 如 果 该 设备 是 未 知 的 ， 或 要 求 进行 认证 ， 则 通过 完 
成 DORA 过 程 ，DHCP 服务 器 可 仍然 提供 一 个 IP 地 址 ; 但 在 这 种 情形 中 指派 的 IP 地 
址 将 是 一 个 受 限 门户 、 带 围墙 的 花园 ， 或 隔离 的 IP 地 址 。 

这 些 术 语 指 如 下 事实 ， 即 指派 给 客户 端的 IP 地 址 将 仅 可 被 路 由 到 有 认证 web 服 
务 器 和 相关 联 服务 运行 的 子 网 或 VLAN。 这 个 隔离 的 VLAN 支持 正 通 信 ， 但 也 仅 可 到 
达 设 备 的 这 个 受 约束 的 集合 。 这 将 设备 封锁 起 来 ， 使 之 不 能 渗透 网 络 的 其 他 部 分 ， 直 
到 对 应 的 用 户 被 认证 后 才 解 除 封 锁 。 路 由 基础 设施 必须 如 下 配置 ， 将 带 有 隔离 地 址 池 
的 一 个 源 地 址 的 报 文 路 由 到 被 隔离 的 VLAN， 同 时 (或) 客户 端 必须 以 无 类 静态 路 由 
选项 加 以 配置 。 因 此 ， 如 图 8-1 所 示 的 地 址 X 是 被 隔离 VLAN 的 一 个 成 员 ， 在 该 
VLAN 上 仅 有 有 限 的 网 络 资源 可 以 使 用 。 图 8-2 形象 地 展示 了 这 种 受 约束 门户 配置 的 
一 个 范例 网 络 拓扑 。 
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图 8-2 受 限 的 门户 网 络 图 [1 


现在 ， 当 用 户 打开 一 个 网 络 浏览 器 时 ， 他 /她 可 输入 任何 网 址 。 在 被 隔离 的 
VLAN 上 要 求 有 一 台 受 限 的 配置 DNS 服务 器 , “ 受 限 ”的 含义 指 它 将 任何 请 求 及 每 条 
请 求 都 解析 到 认证 网 页 服务 器 的 IP 地 址 。 因 此 ， 不管 输入 到 网 页 浏览 器 的 是 什么 网 
址 ， 网 址 都 被 受 限 的 门户 万 维 网 服务 器 所 解析 。 认 证 万 维 网 服务 器 给 出 登录 页 面 。 如 
果 您 出 外 旅行 ,使 用 一 家 旅馆 的 宽带 或 无 线 服务 的 话 ， 则 您 可 能 看 到 过 类 似 于 此 的 情 
况 。 一 旦 输入 被 请 求 的 机 密 信息 (对 于 一 个 企业 环境 而 言 ， 这 典型 地 将 由 一 个 用 户 
ID 和 一 个 口令 组 成 ) ， 则 网 页 会 调用 一 个 CGI 脚本 ,将 输入 的 机 密 信息 传递 到 一 个 后 
台数 据 库 。 这 个 认证 数据 库 可 能 是 一 台 LDAP 服务 器 、 一 个 Windows 域 控制 器 、 一 
Radius 服务 器 或 其 他 形式 的 认证 数据 库 。 

依据 认证 的 结果 ， 之 后 发 出 请 求 的 设备 将 认为 是 授权 的 或 没有 授权 的 ， 如 果 被 授 





O ”在 一 些 情 形 中 ， 甚 至 已 知 的 用 户 设备 也 可 请 求 周期 性 的 再 次 认证 ， 以 此 作为 一 项 安全 预防 措施 。 
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权 ， 则 可 选 地 会 授予 何 种 类 型 的 授权 。 相 比 于 一 种 简单 的 布尔 型 “被 授权 或 没有 授 
权 ” 法 ， 授 权 类 提供 了 更 细 的 粒度 ， 其 中 不 同 的 被 授权 用 户 可 被 指派 一 个 不 同 的 生 
产 耳 地 址 ， 这 顺 次 可 提供 到 不 同 网 络 资源 的 访问 能 力 。 例 如 ， 基 本 层次 的 用 户 可 被 
授予 访问 一 个 基本 的 资源 集合 ， 而 高 级 层次 的 用 户 可 被 授予 访问 其 他 资源 (例如 全 
资源 ) 。 同 样 ， 这 要 求 路 由 拓扑 配置 有 多 个 源 路 由 段 或 VLAN 段 ， 就 与 服务 层次 相关 
联 的 地 址 池 而 言 ， 将 这 些 网 络 和 相应 的 路 由 规划 映射 到 DHCP 服务 器 配置 。 

指派 生产 IP 地 址 的 方式 ， 遵 循 被 隔离 IP 地 址 的 超期 或 刷新 拒绝 的 方式 (过程 )。 
一 般 而 言 ， 被 隔离 IP 地 址 租赁 时 间 被 配置 为 一 个 短 的 租赁 时 间 (1 ~5min)。 这 促使 
设备 快速 地 尝试 刷新 。 如 果 该 设备 仍然 处 在 认证 的 过 程 之 中 ， 则 它 的 刷新 尝试 将 被 确 
WU (ACK) ， 这 就 延长 了 租 凭 时间。 一旦 成 功 地 完成 认证 ， 认 证 系统 就 更 新 DHCP 服 
务 器 ， 将 客户 端 MAC 地 址 添加 到 “已 知 的 ”或 “允许 的 ”地 址 池 。 之 后 对 被 隔离 地 
址 的 刷新 尝试 将 被 否定 (NAK) ， 这 就 激活 了 一 个 新 的 DORA 过 程 ， 从 而 提供 一 个 
“生产 ”IP 地 址 (图 8-1 中 的 地 址 了 ) 。 如 果 设 备 不 能 通过 认证 ， 则 刷新 会 被 否定 确 
认 ， 后 续 地 址 尝试 会 被 拒绝 ; 另外 ,为 了 仅 提供 被 隔离 网 络 上 资源 〈 如 果 这 是 所 期 
望 的 话 ) 的 访问 ， 则 被 隔离 地 址 的 刷新 尝试 将 被 认可 。 

除了 基于 设备 标识 符 、 客 户 端 类 和 用 户 认 证 等 的 这 些 设备 和 用 户 识别 措施 外 ， 这 
个 通用 的 流程 也 可 提供 有 关 请 求 PP 地 址 的 这 人 台 机 器 的 其 他 有 效 性 验证 。DHCP 过 程 
可 被 用 来 触发 一 个 外 部 安全 扫描 系统 (如 Nessus) ， 或 另 一 个 第 三 方 应 用 来 对 发 出 请 
求 的 客户 端 进行 病毒 扫描 ， 或 验证 使 用 了 可 被 接受 的 病毒 防护 软件 。 这 个 设备 扫描 步 
又 可 被 单独 使 用 ， 或 与 设备 识别 措施 一 起 使 用 ， 从 而 可 提供 通过 〈 采 用 ) DHCP 的 一 
个 鲁 棒 的 访问 安全 解决 方案 。 

基于 DHCP 的 安全 访问 的 一 个 范例 网 络 配置 如 图 8-2 所 示 。 图 中 所 示 的 DHCP 服 
务 器 将 配置 有 许多 客户 端 类 集合 。 我 们 所 称 的 客户 端 类 ， 是 指 DHCP 报 文中 的 匹配 准 
则 ， 将 其 链接 到 已 映射 到 相关 联 的 网 络 可 访问 能 力 的 客户 端 类 集合 。 例 如 ， 在 我 们 的 
范例 中 ， 至 少 对 于 如 下 所 示 中 的 每 种 情况 ， 我 们 都 将 需要 一 个 客户 端 类 集合 。 

1) 受 限 的 门户 网 络 (补救 用 途 (remediation) 的 VLAN). 

2) 生产 网 络 1。 

3) 生产 网 络 2。 

将 这 些 客户 端 类 集合 想象 为 各 客户 端 要 被 放 入 的 桶 (bins)， 这 种 做 法 依据 的 是 
将 客户 端的 认证 状态 与 设备 的 客户 端 类 联系 起 来 。 因 此 ， 当 客户 端 类 成 员 出 现在 网 络 
上 且 用 户 进行 认证 时 ， 客 户 端 类 成 员 将 被 DHCP 服务 器 分 类 ， 依据 的 是 定义 好 的 客户 
端 类 。 通 常 来 说 ， 这 些 客户 端 类 将 映射 到 DHCP 服务 器 上 的 地 址 池 定 义 ， 如 后 面 的 简 
单 范例 ISC 服务 器 配置 所 示 "” 。 注 意 ， 可 为 每 个 地 址 池 定 义 额 外 的 选项 ， 以 便 向 落 
人 每 个 集合 或 地 址 池 的 客户 端 提供 额外 的 配置 粒度 。 
subnet 172. 16. 0. 0 netmask 255. 255. 252.0 | 
# subnet level options here.../ * 下面 是 子 网 层次 的 选项 * / 

pool | #captive portal pool/ * 受 限 制 的 门户 

地 址 池 * / 
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range 172. 16. 0. 10 172. 16. 0. 254; 


option domain-name-servers 172. 16.0.5; #limited config DNS server/ * 受 限 的 


default-lease-time 150; 


allow unknown clients ; 


pool | 
range 172. 16. 1. 10 172. 16. 1. 254; 


option domain- name- servers 
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172. 16.1.5; 


default-lease-time 14400; 


deny unknown clients; 


allow members of "net1"; 


| 
pool | 


range 172. 16. 2. 10 172. 16. 2. 254; 
option domain- name- servers 

172. 16.2.5; 

default-lease-time 14400; 


deny unknown clients; 


allow members of "net2"; 


配置 DNS 服务 器 * / 

#short lease time/ * 短 的 租赁 时 间 * / 
#clients not predefined. / * 没有 预先 
定义 的 客户 端 */ 


#Prod Net 1 


#production DNS server/ * 生产 DNS 
服务 器 * / 

#normal lease time/ * 正常 的 租赁 时 
间 */ 

#clients must be predefined./* 客户 
端 必须 被 预先 定义 * / 

#client class netl allowed/ * 客户 端 类 
netl 被 允许 */ 


#Prod Net 2 


#production DNS server/ * 生产 DNS 
服务 器 * / 

#normal lease time/ * 正常 的 租赁 时 
ja] * / 

#clients must be predefined. / * 客户 
端 必 须 被 预先 定义 */ 

#client class net2 allowed/ * 客户 端 类 
net2 被 允许 */ 


依据 认证 过 程 的 结果 ， 认 证 服务 器 必须 能 够 更 新 DHCP 配置 ， 以 便 将 客户 端 放 人 
合适 的 容器 或 类 。 因 此 ， 如 果 设 备 被 成 功 地 认证 可 访问 生产 网 络 2， 则 认证 门户 需要 
将 特定 设备 的 客户 端 类 值 (例如 MAC 地 址 ) 添加 到 生产 网 络 2 的 客户 端 类 组 (在 上 
述 范例 中 是 “net2” 类 ) 。 例 如 这 项 更 新 可 使 用 ISC DHCP 服务 器 OMAPI 界面 (CRR 
版 本 3. 1 或 以 上 版 本 ) 加 以 实施 。 这 个 客户 端 类 声明 可 在 DHCP 服务 器 上 定义 特定 于 


112 IP 地 址 管理 原理 与 实践 








类 的 选项 ， 以 便 向 客户 端 提 供 (例如 ) 默认 网 关 、DNS 服务 器 ， 还 有 任何 其 他 选项 。 

受 限 的 门户 VLAN 可 能 仅 由 “未 知客 户 端 ”组 成 ， 它 是 可 采用 ISC DHCP 服务 器 
配置 的 一 个 符号 指派 。 受 限 的 门户 网 络 (补救 VLAN) 得 以 部 署 ， 包括 受 限 的 配置 
DNS 服务 器 ， 作 为 认证 门户 的 web 服务 器 ， 可 访问 一 个 认证 数据 库 ， 可 选 的 还 有 一 台 
安全 扫描 服务 器 以 及 任何 其 他 必 备 的 预 访问 (preaccess) 服务 。 

为 得 到 高 可 用 性 和 /或 扩展 到 较 大 型 的 网 络 ， 可 部 署 一 台 以 上 的 DHCP 服务 器 。 
这 种 方法 确实 使 事情 有 点 复杂 ， 原 因 是 在 两 台 服 务 器 上 的 DHCP 服务 器 配置 需要 做 到 
一 致 ， 以 便 路 由 未 知 的 客户 端 或 要 求 到 受 限 门户 网 络 进行 认证 的 客户 端 。 


8.2 其 他 接 入 控制 方法 


您 可 能 认为 ， 对 于 利用 DHCP 的 客户 端 而 言 ， 基 于 DHCP 的 方法 还 是 不 错 的 ; 但 
对 于 可 猜测 到 子 网 地 址 ， 之 后 在 其 机 器 上 人 工 编码 (配置) 一 个 静态 IP 地 址 来 访问 
网 络 的 那些 “ 狭 独 的 用 户 ”, 该 怎么 办 呢 ? 从 一 个 安全 访问 的 角度 而 言 ， 这 些 狭 独 的 
用 户 毕 竟 是 人 们 最 担忧 的 那些 用 户 。 另 外 ， 对 于 使 用 IPv6 无 状态 自动 配置 的 设备 而 
言 ， 地 址 指派 是 不 要 求 DHCP 交互 的 。 

对 于 在 不 依赖 基于 DHCP 方法 的 条 件 下 ， 要 激活 设备 的 检测 和 相关 联 的 补救 动作 ， 有 
三 种 基本 的 替代 方法 。 在 下 一 节 我 们 将 讨论 领先 的 网 络 (networking) 厂商 NAC 方法 。 

1) DHCP LeaseQuery (租赁 查询 ) 。 

2) 层 2 交换 机 提醒 (alerting) 。 

3) 802.1X, 


8.2.1 DHCP LeaseQuery 


如 果 在 一 个 子 网 上 的 多 数 地 址 或 所 有 地 址 都 是 依据 策略 使 用 DHCP 加 以 配置 的 ， 
即 每 个 I 了 P 地址 应 该 有 一 个 对 应 的 DHCP 租赁 ,那么 可 使 用 LeaseQuery 方法 。DHCP 
LeaseQuery 是 一 条 DHCP 协议 消息 ， 它 使 一 台 边缘 路 由 器 就 一 个 特定 设备 或 一 组 设备 
的 租赁 状态 ,来 查询 DHCP 服务 器 。 这 提供 了 某 种 担保 ， 即 尝试 通过 路 由 器 进行 通信 
的 一 人 台 设 备 没有 伪造 一 个 地 址 ， 该 地 址 应 该 是 通过 DACP 服务 器 进行 指派 的 。 

当 路 由 器 从 一 个 特定 MAC 地 址 在 一 个 层 2 帧 内 (比如 ) 接收 到 IP 流量 时 ， 它 可 
向 其 配置 好 的 DHCP 服务 器 ( 即 其 角色 为 中 继 代理 ) 发 出 一 条 DHCP LeaseQuery 消 
息 。 如 果 一 台 DHCP 服务 器 以 前 向 客户 端 提供 过 一 次 地 址 租赁 ， 则 它 将 向 路 由 器 做 出 
响应 ， 且 路 由 器 将 打开 绿灯 ， 并 路 由 该 设备 的 报 文 。 路 由 器 也 可 缓存 这 个 信息 ， 从 而 
使 LeaseQuery 速率 不 会 太 高 。 当 然 ， 仅 当 在 一 个 子 网 上 的 所 有 客户 端 使 用 DHCP 时 
(比如 在 宽带 接 入 网 中 的 情况 )， 而 不 是 当 其 他 静态 编 址 的 设备 在 该 子 网 上 进行 通信 
时 ， 才 可 实施 这 种 形式 的 访问 控制 。 


8.2.2 层 2 交 换 机 提醒 
男 一 种 方法 利用 支持 (使 能 ) SNMP 的 交换 机 ， 在 其 端口 之 一 上 遇 到 一 条 链 路 连 
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通 事 件 时 ， 发 出 一 条 SNMP 陷阱 ， 并 接受 端口 级 别 的 VLAN 配置 。 这 项 提醒 能 力 ， 与 
SNMP 可 写 配置 信息 一 起 ， 可 支持 类 似 网 守 (gatekeepr-like) 的 功能 ,方法 是 动态 地 
识别 尝试 访问 网 络 的 设备 ， 并 配置 交换 机 ， 从 而 将 端口 配置 到 一 个 特定 的 VLAN. 为 
了 处 理 陷阱 ， 将 需要 一 个 第 三 方 的 系统 或 产品 ， 在 合适 的 VLAN 指派 上 做 出 决策 ， 并 
相应 地 配置 交换 机 。 

让 我 们 看 看 这 是 如 何 工作 的 。 如 果 我 们 从 开始 起 考虑 连接 到 一 个 网 络 的 一 台 设 备 
的 过 程 ， 则 该 设备 首先 从 层 1 在 网 络 上 “启动 ”(boots up)。 因 此 ， 首 先 达 到 的 是 物 
理 层 /电气 连通 性 ; 之 后 数据 链 路 层 初始 化 ， 在 此 时 发 生 层 2 帧 同步 。 接 着 跟随 的 是 
层 3, 发 出 一 条 DHO 报 文 (比如 ) ,或 者 如 果 在 层 3 配置 了 一 个 静态 地 址 的 话 ， 则 
直接 发 出 IP 报 文 。 当 数据 链 路 层 初始 化 (在 层 3 之 前 ) 时 ,设备 所 连接 的 交换 机 将 
被 认为 是 “线路 通 了 ”， 并 发 出 一 条 陷阱 消息 。 因 为 该 陷阱 是 在 层 3 初始 化 之 前 发 出 
的 ， 所 以 这 种 方案 可 识别 静态 编 址 的 和 DHCP 编 址 的 设备 。 

陷阱 将 被 发 往 可 识别 线路 通 (link up) 状态 的 一 个 系统 ， 确 认 (ascertain) 新 连 
接 设 备 的 链 路 层 (MAC) 地 址 ， 之 后 确定 该 设备 是 否 要 求 认 证 或 验证 。 这 个 确定 过 
程 可 通过 在 系统 内 的 一 个 MAC 地 址 数据 库 完成 ， 该 系统 识别 已 知 的 或 可 接受 的 MAC 
地 址 ， 并 将 之 从 未 知 的 或 已 知 不 可 接受 的 MAC 地 址 区 分 开 。 系 统 将 这 两 种 或 也 许 更 
多 种 MAC 地 址 类 别 与 相应 的 VLAN 指派 相关 联 ， 之 后 将 其 编程 在 相应 交换 机 的 给 定 
端口 上 。 之 后 连接 的 设备 将 被 连通 到 指派 的 VLAN。 您 也 许 看 到 这 类 似 于 我 们 讨论 过 
的 使 用 客户 端 类 的 DACP 场景 。 在 这 种 情形 中 ， 第 三 方 系统 使 用 它 的 数据 库 ， 它 并 不 
使 用 DHCP 指派 一 个 IP 地址， 而 是 采用 SNMP 或 其 他 方式 配置 层 2 交换 机 。 

对 于 隔离 的 或 受 限 的 门户 访问 ，VLAN 指派 将 仅 导向 认证 网 络 。 对 于 传递 认证 和 
/或 设备 验证 的 那些 访问 ,系统 可 将 MAC 地 址 重新 指派 到 可 接受 的 列表 ， 之 后 据 此 配 
置 交 换 机 ， 以 便 改变 端口 VLAN 关联 关系 。 取 决 于 认证 方法 ， 可 能 需要 也 可 能 不 需要 
客户 端 软件 。 对 于 基于 网 站 的 登录 /口令 ， 使 用 认证 客户 端 配置 您 的 每 台 客 户 端 计算 
机 ， 也 许 是 不 必要 的 。 但 是 ， 如 果 采 用 Radius 或 其 他 挑战 /响应 认证 技术 战略 措施 的 
话 ， 则 客户 端 软 件 将 是 必要 的 。 


8.2.3 802.1X 


IEEE 802. 1X 是 支持 边缘 设备 捕获 新 的 访问 尝试 的 一 个 协议 规范 ， 它 使 用 Radius 
认证 和 动态 交换 机 端口 配置 。 在 宽带 因特网 前 期 拨号 的 日 子 期 间 ， 您 可 能 使 用 过 Ra- 
dius， 在 层 3 使 用 点 到 点 协议 。 由 IEEE 802.1 工作 组 开发 的 802.1X 将 焦点 放 在 层 2 
协议 上 ， 和 你 预料 的 一 样 ， 它 是 一 个 层 2 协议 。 像 在 前 一 节 中 讨论 的 基于 交换 机 的 认 
证 技术 战略 一 样 ， 这 种 方法 工作 在 第 2 层 ， 在 设备 通过 DHCP 得 到 一 个 层 3 (IP) 地 
址 之 前 。802. 1X 是 基于 标准 的 ， 它 理论 上 支持 不 同 厂 商 的 产品 用 作 整 体 解决 方案 内 
的 组 件 。 

如 图 8-3 所 示 ，802. 1X 要 求 有 一 个 客户 端 或 称 为 屋 求 者 (supplicant) 的 代理 ， 
它 通过 一 个 认证 器 (例如 交换 机 ) 的 方式 与 一 台 认 证 服务 器 交互 通信 。 在 初步 连接 
到 一 个 网 络 时 ， 奶 求 者 利用 802. 1X 上 的 扩展 认证 协议 (EAP) 初始 化 到 网 络 接 人 设 
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备 的 一 条 连接 请 求 。 除 了 EAP 报 文 外 ， 可 将 交换 机 配置 成 默认 地 阻塞 来 自 未 认证 端 
口 的 所 有 流量 。 

在 数据 链 路 层 上 设备 所 连接 到 的 接 入 交换 机 ,将 EAP 流量 传输 到 认证 ( 即 Radi- 
us) 服务 器 。 接 下 来 ，Radius 服务 器 挑战 客户 端 ， 请 其 输入 一 个 ID 和 口令 。 在 成 功 
认证 后 ，Radius 服务 器 与 边缘 设备 通信 ， 支 持 到 关联 设备 端口 的 访问 。 


A 

& 
客户 端 (请 求 者 ) 2 Radius 服 务 器 
区 yee (认证 服务 器 ) 


访问 阻塞 











EAP- 响 应 机 密 信息 











访问 
图 8-3 ”802. 1X 认证 


8.2.4 Cisco 网 络 接纳 控制 


Cisco 的 网 络 接纳 控制 (NAC) 提供 法 (offering) ”主要 是 基于 802. 1X 的 。 它 要 
求 一 个 Cisco 信任 代理 (CTA) ， 可 选 的 是 一 个 Cisco 安全 代理 安装 在 每 个 端 用 户 设备 
上 ( 见 图 8-4) 。 信 任 代理 包含 一 个 Radius 客户 端 。 在 初步 连接 到 一 个 网 络 时 ，CTA 
利用 802. 1X 上 的 扩展 认证 协议 或 UDP， 初 始 化 到 该 网 络 的 一 条 连接 请 求 。 

网 络 接 人 设备 ， 典 型 情况 下 是 设备 在 数据 链 路 层 所 连接 的 一 台 交 换 机 ， 它 将 EAP 
流量 传输 到 Cisco 访问 控制 服务 器 (ACS), ， 由 其 提供 Radius 服务 。 接 下 来 ， 这 个 Ra- 
dius 组 件 挑战 客户 端 ， 请 其 输入 一 个 ID 和 一 个 口令 。 可 能 触发 一 个 第 三 方 的 验证 解 
决 方案 ， 来 扫描 尝试 获得 接 和 人 的 设备 。 在 成 功 认 证 和 验证 后 ，ACS 与 边缘 设备 通信 ， 
激活 到 关联 设备 端口 的 访问 。 


8.2.5 微软 网 络 接 入 保护 


微软 引入 网 络 接 人 保护 (NAP)? ， 使 管理 员 能 够 确保 正在 访问 一 个 网 络 的 计算 
机 安装 了 合适 的 软件 ， 且 该 软件 是 一 个 指定 的 版 本 或 高 于 该 版 本 ， 这 项 功能 在 微软 
Vista™ 或 7 客户 端 以 及 Windows Server 2008 实现 中 得 以 支持 。 微 软 支 持 一 种 API， 使 
其 他 厂商 能 够 支持 NAP 技术 。NAP 主要 强调 设备 的 符合 性 (compliance) 和 健康 状 
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用 户 笔记 本 计算 机 y ` 
( 轩 科 信任 代理 + 思科 mana 思科 安全 访问 。 第 三 方 验证 和 补救 
或 第 三 方 安全 代理 ) e 控制 系统 

访问 阻塞 

802.1X 认 证 ij 







认证 过 的 ;初始 扫描 










扫描 和 补救 
设备 补救 过 的 
向 生产 VLAN 指 派 端口 














访问 允许 
图 8-4 Cisco NAC 基本 流 


态 ， 而 作为 一 项 副产品 ， 才 是 访问 控制 。 即 NAP 的 本 由 是 当 设 备 访问 网 络 时 ,使 网 
络 管理 员 能 够 验证 设备 与 当前 软件 发 行 版 的 符合 性 ， 本 质 上 并 不 预防 恶意 攻击 者 的 访 
问 。 尽 管 如 此 ，NAP 确实 包含 了 带 有 其 三 个 主要 功能 的 拒绝 访问 正在 进行 中 ( pend- 
ing) 的 健康 状态 验证 能 力 。 

1) 健康 策略 验证 。 接 收 到 一 次 网 络 访问 尝试 时 ， 得 到 一 台 设 备 的 “健康 状态 ”， 
并 将 其 与 管理 员 定 义 的 “健康 策略 ”比较 。 如 果 设 备 符合 指定 的 健康 策略 ， 则 允许 
设备 进行 不 受 限 制 的 访问 ; 如 果 设 备 是 不 符合 条 件 的 ， 则 可 向 该 设备 提供 受 限制 的 访 
问 ， 或 仅 在 监控 模式 下 的 全 能 力 (不 受 限 制 的 ) 访问 。 

2) 健康 策略 符合 性 。 在 访问 尝试 时 ， 不 符合 要 求 的 设备 可 被 可 选 地 自动 进行 升 
级 。 如 果 处 于 纯粹 监测 (monitoring- only) 模式 ， 则 设备 将 可 使 用 不 受 限 制 的 网 络 访 
问 。 在 受 限 的 访问 模式 中 ， 直 到 取得 符合 性 的 能 力 前 ， 该 设备 将 仅 具 有 有 限 的 网 络 访 
问 能 力 。 

3) 受 限 的 访问 。 管 理 员 可 限制 不 符合 要 求 的 设备 的 网 络 可 访问 性 的 范围 。 

微软 Vista 客户 端 包含 一 个 NAP 客户 端 ， 在 访问 一 个 网 络 的 尝试 过 程 中 ， 它 与 一 
个 NAP 策 略 服务 器 (NPS) (是 微软 Windows Server 2008 的 组 成 部 分 ) 通信 。NPS 加 
强 了 符合 性 策略 ， 并 在 各 种 技术 上 的 访问 尝试 中 被 查询 (consulted) 检索 ， 这 些 技术 
包括 IPSec、802. 1X、VPN Radius 和 DHCP, IPSec 是 策略 增强 措施 的 最 强壮 形式 ， 
它 由 一 个 健康 注册 权威 (HRA) 组 成 ,该 权威 基于 NPS 所 做 的 符合 性 验证 ， 向 符合 
要 求 的 NAP 增强 型 客户 端 (EC) 发 放 X. 509 证 书 。 

802. 1X 访问 流程 遵循 上 面 针 对 802. 1X 描述 的 流程 ， 添 加 了 NAP 策略 服务 器 验 
证 设备 符合 性 的 步骤 。VPN、Radius 和 DHCP 访问 组 件 包括 一 个 NAP 增强 型 服务 器 
(ES) 和 一 个 NAP EC， 它 们 在 访问 网 络 的 尝试 中 通过 对 应 的 技术 ， 就 策略 符合 性 进 
行 通信 ( 见 图 8-5)。 

客户 端 设备 ， 或 NAP 客户 端 ， 包含 一 个 NAP 代理 ,以 及 微软 提供 的 和 API 可 访 
问 的 系统 健康 代理 (SHA) 和 NAP EC， 目 的 是 支持 另外 的 应 用 。 类 似 地 ，NAP 的 特 
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征 是 为 相应 的 系统 健康 验证 器 (SHV) 提供 一 个 API。 当 尝试 访问 网 络 时 ，NAP 客户 
端 将 通过 相应 的 访问 ( 接 入 ) 服务 器 向 NAP 提供 健康 声明 (SoH); 例如 HRA, VPN 
服务 器 、DHCP 服务 器 等 。 接 人 服务 器 将 这 个 信息 传递 给 NPS，NPS 验证 策略 符合 性 ， 
基于 接 入 访问 技术 和 NAP 策略 来 允许 或 限制 访问 。 不 受 限 制 或 受 限 访 问 权限 被 传递 
到 增强 客户 端 上 的 NAP EC ， 虽 然 也 需要 其 他 网 络 配置 ， 例 如 路 由 器 访问 列表 或 静态 
路 由 。 


NAP 策 略 服务 器 





| 
1! 
API 





8-5 ”微软 NAP 组 件 '?] 


8.3 使 DHCP 安全 


8.3.1 DHCP 威胁 


在 企业 环境 内 ， 对 DACP 的 多 数 威胁 是 由 内 部 〈 即 组 织 机 构 内 部 ) 客户 端 导致 
的 。 外 部 客户 端 不 应 该 到 达 〈 即 连通 ) DHCP 服务 器 ， 方 法 是 ， 简 单 地 不 将 DHCP 服 
务 器 部 署 在 外 部 子 网 ， 也 不 中 继 来 自 外 部 源 的 DHCP 报 文 。 对 于 使 用 DHCP 初始 化 订 
户 设备 〈 不 管 是 蜂窝 电话 〈 手 机 )、 线 缆 或 光纤 路 由 器 等 ) 的 服务 提供 商 而 言 ， 对 
DHCP 服务 的 威胁 ， 依 据 定义 是 从 外 部 到 达 网 络 的 。 简 而 言 之 ， 使 用 DHCP 的 所 有 组 
织 机 构 都 是 脆弱 的 。 脆 弱 的 程度 以 及 被 攻破 的 影响 ， 应 该 以 使 DHCP 安全 的 形式 ， 以 
便 最 小 化 这 种 影响 ， 来 驱动 响应 行为 。 接 下 来 ， 我 们 将 审视 一 下 攻击 的 主要 形式 。 

像 所 有 网 络 服务 一 样 ， 对 于 拒绝 服务 (DOS) 攻击 ，DHCP 是 脆弱 的 。 当 一 个 攻 
击 者 以 对 服务 器 而 言 太 多 的 请 求 ， 使 其 不 能 处 理 ， 而 洪 泛 攻 击 一 台 给 定 服务 器 时 ， 该 
服务 器 将 用 其 所 有 的 计算 周期 ， 尝 试 处 理 洪 泛 请 求 ， 而 不 能 处 理 合法 的 客户 端 请 求 ; 
因此 ， 这 些 合法 的 客户 端 就 不 能 被 服务 ， 对 它们 而 言 服务 是 不 可 用 的 。 

男 一 种 类 型 的 攻击 ， 涉 及 一 名 无 赖 (rogue) 客户 端 尝试 得 到 一 个 有 效 的 IP 地 址 
和 配置 ， 以 便 可 访问 网 络 。 这 可 能 是 恶意 的 〈 例 如 宽带 服务 被 盗窃 使 用 ) ， 或 简单 的 
偶然 性 的 〈 例 如 一 名 拜访 者 将 网 线头 插 和 人 会 议 室 的 墙 上 插座 ) 。 

第 三 种 形式 的 攻击 ， 特 征 是 ， 一 台 无 赖 DHCP 服务 器 对 来 自 客 户 端的 租赁 请 求 做 
出 响应 ， 提 供 不 正确 的 IP 地 址 和 /或 选项 参数 信息 。 这 种 “中 间 人 ”型 的 攻击 会 尝 
在 客户 端 上 设置 不 正确 的 配置 参数 ， 例 如 所 用 的 默认 网 关 或 DNS 服务 器 地 址 (可 能 
是 多 个 地 址 ) 。 注 意 对 于 IPv4， 一 般 而 言 ， 仅 当 服 务 器 和 客户 端 位 于 同一 子 网 上 时 ， 
一 台 无 赖 DHCP 服务 器 攻击 才 是 可 行 的 ; 假定 中 继 代 理 将 被 配置 成 去 中 继 DHCP 报 文 
到 经 过 授权 的 DACP 服务 器 。 一 台 远 端的 无 赖 DHCPv6 服务 器 可 能 通过 DHCP 组 播 地 
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址 是 可 到 达 的 。 

客户 端 可 从 合法 的 DHCP 服务 器 (可 能 是 多 台 ) 和 无 赖 服 务 器 ， 接 收 DHCPOF- 
FER。 许 多 客户 端 将 选择 包括 其 请 求 参数 的 第 一 个 提供 (offer) 报 文 。 如 果 无 赖 服务 
器 和 客户 端 处 在 同一 子 网 上 ， 而 合法 服务 器 不 在 这 个 子 网 上 时 ， 那 么 可 能 情况 是 ， 无 
赖 服务 器 也 许 能 够 指派 规定 客户 端的 IP 配置 。 


8.3.2 DHCP 威胁 缓解 措施 


针对 DOS 攻击 的 防护 ， 应 该 在 超出 DHCP 的 一 个 更 广泛 的 上 下 文中 进行 实现 。 
在 一 个 组 织 机 构 内 的 其 他 潜在 被 攻击 目标 ,包括 DNS 服务 器 或 web 服务 器 ， 隐 含 着 
要 考虑 一 种 基于 网 关 的 或 报 文 过 滤 的 方法 ， 以 便 以 一 种 通用 的 解决 方案 来 保护 所 有 的 
服务 器 。 典 型 情况 下 ， 这 样 一 种 解决 方案 涉及 报 文 过 滤 和 正在 进行 的 未 完成 报 文 数量 
的 阔 值 限制 ， 但 就 DHC 而 言 要 谨慎 从 事 ， 这 里 的 原因 是 多 数 客户 端的 事务 都 是 以 漏 
斗 方 式 (funnel) 通过 DHCP 中 继 代 理 的 ， 它 将 来 自 一 个 给 定 源 地 址 集合 的 报 文集 中 
处 理 。 

通过 不 正当 地 从 DHCP 得 到 一 个 他 地址 ， 从 而 得 到 IP 网 络 访问 权限 的 未 知客 户 
端 ， 这 种 情况 会 构成 威胁 ,缓解 这 种 未 知客 户 端 威胁 的 步 又 要 求 识别 客 户 端 ， 依 据 是 
我 们 在 本 章 开 始 讨论 的 各 种 访问 控制 技术 。 

无 赖 的 DHCP 服务 器 是 难以 检测 的 ， 由 于 对 于 与 无 赖 服务 器 处 于 相同 子 网 上 的 各 
客户 端 更 是 如 此 。 但 ISC 和 微软 的 实现 都 提供 了 缓解 无 赖 服务 器 危害 的 方法 。ISC 使 
用 authoritative (权威 的 ) 命令 (directive) ， 该 命令 配置 服务 器 ,使 其 当 一 条 客户 端 
请 求 一 个 地 址 租赁 时 (该 服务 器 是 这 个 地 址 的 权威 服务 器 ) ， 但 该 服务 器 却 没 有 记 
录 ， 这 时 服务 器 发 出 一 条 DHCPNAK。 微 软 的 实现 则 要 求 DHCP 服务 器 在 活跃 目录 
(Active Directory) 内 得 到 授权 ; 因此 ， 当 一 台 Windows DHCP 服务 器 启动 时 ， 在 处 理 
DHCP 报 文 之 前 ， 它 要 在 活 牙 目录 中 验证 它 的 授权 。 


8.3.3 DHCP 认证 


IETF 在 RFC 3118 中 定义 了 DHCP 认证 ， 将 之 定义 为 通过 使 用 共享 令 牌 或 密 铀 
(key) ， 提 供 DHCP 报 文 发 送 者 和 接收 者 验证 的 一 种 机 制 。 简 单 地 说 ， 一 个 令 牌 就 是 
一 个 国定 数值 ， 它 被 插入 到 DHCP 认证 选项 字段 。 报 文 接收 者 检查 令 牌 ， 如 果 令 牌 与 
它 所 配置 的 令 牌 相 匹配 ， 则 接受 该 报 文 ; 否则 ， 它 丢弃 报 文 。 这 种 方法 提供 了 弱 的 端 
点 认证 ， 但 不 提供 消息 验证 。 使 用 共享 密 钥 的 方法 ， 可 提供 带 有 消息 验证 的 更 强壮 的 
端点 认证 。 但 是 ， 共 享 密 钥 必 须 被 配置 在 每 个 客户 端 上 ， 且 每 个 客户 端的 密 钥 要 配置 
在 每 台 DHO 服务 器 上 ( 正 是 通过 它们 ， 客 户 端 得 到 地 址 租赁 的 ) DHCP 认证 规范 
没有 定义 密 钥 分 发 的 机 制 。 例 如 ， 移 动 客户 端 将 需要 可 能 与 其 交互 通信 的 每 台 DHCP 
服务 器 配置 相应 的 令 牌 ， 反 之 亦 然 。 

下 面 是 DHCP 认证 如 何 工作 的 过 程 。 客 户 端 产 生 其 DHCPDISCOVER 报 文 的 一 个 
HMAC-MD5 散 列 ， 并 使 用 共享 密 钥 对 其 签名 。 得 到 的 摘要 被 放置 在 DHCP 认证 选项 
之 中 ， 并 在 DHCPDISCOVER 报 文 内 传输 到 服务 器 。 出 于 散 列 计算 的 目的 ，DHCP 认 
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证 选项 的 散 列 部 分 必须 设置 为 0。 之 后 DHCP 服务 器 将 利用 与 客户 端 相 关联 的 共享 密 
钥 (由 DHCP 认证 选项 的 秘密 ID 字段 加 以 识别 ) ， 计 算 所 接收 到 消息 的 一 个 散 列 值 。 
出 于 散 列 计算 的 目的 ， 服 务 器 将 散 列 值 、 跳 数 和 GIAddr 字段 清 零 。 如 果 计 算得 到 的 
散 列 值 与 原始 DHCP 认证 选项 中 传输 过 来 的 散 列 值 相 匹配 ， 则 认为 客户 端 和 报 文 内 容 
是 被 认证 过 的 。 当 DHCP 服务 器 准备 它 的 DHCPOFFER 和 发 往 客户 端的 未 来 报 文 时 ， 
它 使 用 相同 的 共享 密 钥 来 计算 其 DHCP 认证 选项 的 散 列 值 。 

存在 非常 稀少 的 DACP 认证 实现 。 对 于 人 们 可 感知 到 的 认证 优势 而 言 ， 因 为 密 钥 
管理 和 由 于 散 列 计算 导致 的 处 理 时 延 这 两 方面 的 挑战 ， 认 证 被 认为 是 一 项 太 繁 重 的 负 
担 ， 而 无 法 为 人 们 所 承受 。 那 么 ， 典 型 情况 下 ，DHCP 服务 的 安全 责任 就 落 在 DHCP 
服务 器 管理 员 的 身上 ， 由 他 们 监测 服务 器 ， 当 出 现 威胁 时 ， 对 威胁 做 出 响应 。 





DNS 提供 了 一 项 自动 化 的 查找 设施 ， 目 的 是 方便 人 们 使 用 了 P 网 络 。 虽 然 DNS 提 
供 的 最 常见 的 查找 功能 是 将 名 字 解 析 为 IP 地 址 ， 但 我 们 在 第 9 章 中 讨论 DNS 协议 基 
本 知识 之 后 ， 正 如 我 们 将 在 第 10 章 看 到 的 ，DNS 可 支持 种 类 很 广 的 应 用 。 我 们 将 在 
第 焉 部 分 的 其 他 章节 中 讨论 部 署 和 安全 。 
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9.1 DNS 综述 一 一 域 和 解析 S 


DNS 是 IPAM 的 第 三 个 基础 和 IP 通信 的 一 个 基本 单元 。DNS 提供 了 如 下 方面 的 
各 种 方法 ， 它 提供 了 IP 应 用 的 可 用 性 改进 ， 隔 离 端 用 户 使 其 不 必 将 IP 地 址 直接 输入 
到 像 网 页 浏览 器 的 应 用 之 中 。 当 然 ， 要 在 一 个 卫 网 络 上 通信 ， 一 台 P 设备 需要 将 IP 
报 文 发 送 到 预期 的 目的 地 IP 设备 ; 正如 我 们 已 经 看 到 的 ，IP 报 文 首部 要 求 源 地 址 和 
目的 卫 地 址 。DNS 提供 了 从 一 个 用 户 输入 的 命名 目的 地 信息 〈 例 如 网 站 地 址 ) 转换 
到 其 耳 地 址 的 手段 。 

作为 一 项 网 络 服务 ，DNS 已 经 从 简单 的 主机 名 称 到 IP 地 址 查找 设施 ， 演 化 发 展 
到 支持 非常 复杂 的 “查找 ”应 用 ， 支 持 语音 、 数 据 、 多 媒体 和 安全 应 用 。 对 于 这 样 
的 查找 功能 ， 已 经 证 明 DNS 是 极 具 扩 展 性 和 可 靠 性 的 。 在 开始 介绍 这 个 信息 是 如 何 
组 织 的 之 后 ， 我 们 将 讨论 这 个 查找 过 程 是 如 何 工 作 的 。 


9.1.1 域 层次 结构 


全 球 域名 系统 实际 上 是 一 个 分 布 式 的 层次 化 数据 库 。 一 个 域名 中 的 每 个 “点 ” 
指明 层次 结构 中 各 层 之 间 的 一 个 边界 ， 在 点 之 间 的 每 个 名 字 表 示 一 个 标签 (label), 
层次 结构 的 顶部 ,“. ”或 根 域 提供 了 到 顶层 域 的 索引 ， 例 如 . com、. net、. us .uk, 
这 些 顶 层 域 接 下 来 索引 相应 的 子 域 。 每 个 这 样 的 顶层 域 (Top Level Domain, TLD) 是 
根 域 的 一 个 子 域 。 每 个 TLD 也 有 几 个 子 域 ， 例 如 ipamwordwide. com 作为 com 域 的 
ipamworldwide 域 。 这 些 子 域 可 能 有 子 域 等 。 

当 我 们 从 右 到 左 在 点 之 间 读 取信 息 时 ， 可 识别 我 们 正在 寻找 的 主机 的 一 条 唯一 


O 本 章 的 开始 几 节 依 据 的 是 参考 文献 [11] 的 第 4 章 。 
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路 径 。 最 左 侧 点 左边 的 文本 "通常 是 主机 名 ， 它 位 于 域名 其 他 部 分 所 指明 的 域 的 内 
部 。 一 个 完全 合格 的 域名 (FQDN) 指 在 全 球 DNS 数据 层次 结构 内 对 节点 或 主机 而 
言 ， 这 个 唯一 的 完整 [绝对 ] 的 路 径 名 。 图 9-1 形象 地 说 明 一 个 完全 合格 的 域名 
映射 到 树 状 结构 的 DNS 数据 库 。 注 意 在 . com 之 后 的 尾部 “点 ”号 ， 它 显 式 地 表 
明 域 名 内 部 的 根 域 ， 这 使 之 成 为 完全 合格 的 。 记 住 ， 如 果 没 有 这 个 显 式 的 FQDN Æ 
部 “点 ”表示 的 话 ， 则 一 个 给 定 的 域名 可 被 二 义 性 地 解释 为 是 完全 合格 的 ， 或 相 
对 于 “当前 ” 域 的 。 这 当然 是 合法 的 和 较 容易 的 速记 法 ,但 一 定 要 小 心 潜在 的 二 
义 性 。 






ipamworldwide.com ipamworldwide.com 


service.com 


phila.ipamworldwide.com sw.ipamworldwide.com 


dev.ipamworldwide.com 








pc52 . dev. ipamworldwide . com. 
52 主 
ps nt ipamworldwide.com | 
根 域 
dev.ipamworldwide.com 
域 com TLD 


9-1 映射 到 一 个 完全 合格 域名 的 域 树 呈 1 


9.2 名 字 解 析 
为 了 形象 地 说 明 域 信 息 是 如 何 组 织 的 以 及 一 台 DNS 服务 器 如 何 利用 这 个 层次 化 


O 一 些 环境 允许 主机 名 内 出 现 “ 点 ”"， 这 相对 而 言 是 不 常见 的 ， 虽然 是 被 允许 的 。 
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数据 结构 的 ， 让 我 们 看 一 个 名 字 解 析 范 例 。 依 据 图 9-1 的 范例 ， 让 我 们 假定 我 希望 连 
接 一 个 名 为 pc52 的 设备 。 因此 我 输入 主机 域名 pc52. dev. ipamworldwide. com ， 作 为 我 
期 望 的 目的 地 。 我 将 这 个 域名 键入 其 中 的 应 用 (例如 电子 邮件 客户 端 和 网 页 浏览 器 ) 
利用 套 接 字 应 用 编程 接口 (API) ， 与 TCP/IP 栈 内 称 为 (解析 器 ) resolver 的 一 部 分 
代码 通信 。 在 这 个 实例 中 ,解析 器 的 工作 是 将 我 键 人 的 web 服务 器 名 转换 为 一 个 IP 
地 址 ,使 用 这 个 IP 地 址 可 发 起 IP 通信 。 

解析 器 向 我 的 本 地 DNS 服务 器 发 出 这 个 主机 名 的 一 个 查询 ， 请 求 该 服务 器 提供 一 
个 答案 。 这 人 台 本 地 DNS 服务 器 的 IP 地 址 是 采用 手工 配置 9 的 ， 或 使 用 域名 服务 器 选项 
(DHCP 中 的 选项 6 和 DHCPv6 中 的 选项 23) 通过 DHCP 配置 的 。 之 后 这 台 DNS 服务 器 
将 尝试 回答 查询 ， 方 法 是 以 指定 顺序 在 后 根 (following) 的 区 域 中 查找 ， 如 图 9-2 所 示 。 

我 们 经 常 称 解析 器 向 其 发 出 查询 的 这 台 DNS 服务 器 为 一 台 递归 服务 器 。“ 递 归 ” 
意味 着 解析 器 希望 ， 如 果 DNS 服务 器 自己 不 知道 答案 ， 也 要 尝试 找到 其 查询 的 答案 。 
从 解析 器 的 角度 看 ， 它 发 出 一 条 查询 ， 并 期 待 一 个 答案 。 从 递归 DNS 服务 器 的 角度 
看 ， 它 尝试 为 解析 器 定位 找到 答案 。 递 归 服 务 器 是 解析 器 进入 全 球 域名 系统 的 a2 
户 "。 递 归 服 务 器 直接 从 客户 端 解析 器 接收 递归 查询 ， 并 实施 如 下 列 出 的 步骤， 代表 
解析 器 得 到 查询 的 答案 。 






因特网 根 
DNS 服务 器 
递归 查询 
.com TLD 
Q DNS 服务 器 
权威 的 答案 


ipamworldwide.com 


缓存 的 递归 DNS 服务 器 


DNS 服 务 器 


图 9-2 名 字 解 析 中 的 递归 查询 和 重复 查询 1 


(1) 解析 器 向 递归 DNS 服务 器 发 起 一 条 查询 。 依 据 通过 手工 输入 或 DHCP 的 配 
置信 息 ， 解 析 器 知道 要 查询 哪 台 DNS 服务 器 。 

(2) 被 查询 服务 器 将 首先 搜索 其 所 配置 的 数据 文件 。 即 在 典型 情况 下 ，DNS 服 
务 器 配置 有 配置 和 资源 记录 信息 ， 它 是 这 些 信息 的 权威 服务 器 。 在 典型 情况 下 ， 这 个 
信息 是 使 用 文本 文件 、 一 个 Windows 界面 或 一 个 IPAM 系统 配置 的 。 例 如 ， 贵 公司 的 
DNS 服务 器 可 能 配置 有 贵 公 司 IP 设备 的 解析 信息 。 如 此 ， 这 就 是 权威 信息 。 如 果 找 
到 答案 ， 则 将 其 返回 解析 器 ， 过 程 终止 。 

(3) 如 果 被 查询 的 服务 器 不 是 被 查询 域 的 权威 ， 它 将 访问 它 的 缓存 ， 以 便 确 定 





O 这 个 API 是 位 于 从 应 用 到 协议 栈 的 TCP/IP 层 的 。 gethostbyname sockets/Winsock 调用 发 起 这 个 特定 
的 过 程 。 
O ”我 们 将 在 本 章 稍 后 部 分 回顾 如 何 进行 这 种 手工 配置 。 
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它 最 近 是 否 在 以 前 的 解析 任务 过 程 中 ， 从 另 一 台 DNS 服务 器 接收 到 过 相同 的 或 类 似 
的 查询 。 如 果 pc52. dev. ipamworldwide. com. 的 答案 还 在 缓存 之 中 ， 则 DNS 服务 器 将 
以 这 个 非 权威 的 信息 返回 给 解析 器 ， 过 程 终止 。 这 不 是 一 个 权威 答案 的 事实 ， 一 般 来 
说 ， 是 没有 什么 不 良 后 果 的 ， 但 服务 器 在 其 响应 中 ， 将 这 个 事实 提示 给 解析 器 。 

(4) 如 果 被 查询 的 DNS 服务 器 不 能 在 缓存 中 定位 找到 被 查询 的 信息 ， 那 么 它 将 
尝试 通过 另 一 台 有 该 信息 的 DNS 服务 器 来 定位 查找 该 信息 。 用 来 执行 这 种 “逐步 增 
强 ” 功 能 ， 存 在 三 种 方法 。 

1) 如 果 在 步 又 G) 中 ,索引 的 缓存 信息 指明 查询 的 一 个 部 分 答案 ， 则 它 将 尝试 联 
系 那个 信息 的 源 ， 来 定位 最 终 的 源 和 答案 。 例 如 ， 对 另 一 台 DNS 服务 器 一 一 服务 器 A 以 
前 的 一 条 查询 ， 可 能 指明 那 台 DNS 服务 器 A 是 ipamworldwide. com 域 的 权威 。 那 么 初始 时 
被 查询 的 DNS 服务 器 会 查询 DNS 服务 器 A， 查 询 得 到 pc52. dev. ipamworldwide. com 的 解析 。 

2) 如 果 缓 存 没 有 提供 相关 的 信息 ， 且 被 查询 的 递归 服务 器 被 配置 为 可 转发 状 
态 ， 则 该 服务 器 将 依据 其 配置 或 区 域 (zone) 文件 的 配置 转发 该 查询 。 在 后 面 我 们 将 
讲解 细节 内 容 。 

3) 如 果 在 缓存 中 没有 找到 信息 ， 该 服务 器 不 能 识别 一 台 转 荐 (referal) 服务 
器 ， 或 转发 没有 提供 一 个 响应 “或 没有 配置 成 可 转发 ， 则 DNS 服务 器 将 访问 它 的 线索 
(hints) 文件 。 为 了 开始 从 域 层 次 结构 向 下 遍历 到 达 一 台 DNS 服务 器 (可 提供 查询 的 
一 个 答案 ) ， 线 索 文 件 提供 要 查询 的 根 名 字 服 务 器 的 一 个 列表 。 

注意 ， 通 过 向 其 他 DNS 服务 器 发 出 查询 来 定位 查找 解析 信息 ， 递 归 服 务 器 本 身 
实施 执行 这 个 查找 的 解析 器 功能 。 术 语 “ 桩 解析 器 ”( stub resolver) 通常 用 来 识别 解 
析 器 ， 就 像 在 终端 用 户 的 客户 端 内 的 那些 解析 器 ， 可 仅 配 置 带 有 要 查询 的 递归 名 字 服 
务 器 (NS) 。 

(5) 在 查询 一 台 根 服务 器 或 基于 被 缓存 的 信息 沿 树 进一步 向 下 找到 的 一 台 服 务 
器 时 ， 被 查询 的 服务 器 将 解析 查询 ， 提 供 pc52. dev. ipamworldwide. com 的 IP 地址 (可 
能 有 多 个 地 址 ) ， 或 提供 到 另 一 台 DNS 服务 器 ( 沿 层次 结构 向 下 “比较 接近 ”要 查 
找 的 完全 合格 的 域名 ) 的 一 条 转 荐 信息 。 例 如 ， 在 查询 一 台 根 服务 器 时 ， 可 以 有 保 
证 地 说 ， 您 将 不 会 得 到 pc52. dev. ipamworldwide. com 的 一 个 直接 解析 答案 。 但 是 ， 根 
名 字 服 务 器 将 正在 查询 的 DNS 服务 器 指向 负责 com. 的 权威 名 字 服 务 器 。 根 服务 器 是 
“ 仅 被 委派 ”的 服务 器 ， 不 直接 解析 查询 ， 仅 对 被 查询 的 TLD 返回 被 委派 的 名 字 服 务 
器 信息 。 

(6) 直到 查询 被 回答 之 前 ， 递 归 服 务 器 依据 沿 域 树 (domain tree) 向 下 得 到 的 应 
答 ， 和 迭代 重复 ”附加 的 查询 。 继 续 我 们 的 范例 ， 在 查询 com. 的 权威 名 字 服 务 器 时 ， 
接收 到 的 答案 将 是 ipamworldwide. com. 的 权威 名 字 服 务 器 的 一 个 索引 ， 如 此 沿 树 向 下 


日 ”缓存 表 项 是 临时 的 ，DNS 服务 器 依据 用 户 配置 信息 以 及 一 个 资源 记录 的 通告 寿命 ， 对 其 进行 清除 。 

O MRA (forward only) 选项 ， 如 果 被 转发 的 查询 返回 的 是 没有 结果 ， 则 不 做 解析 尝试 如 
果 配 置 首先 转发 〈forward first) 选项 ， 则 接着 发 生 本 段 中 列 出 的 过 程 ， 并 逐步 到 达 一 台 根 服务 器 。 

O 这 些 “ 点 到 点 ”查询 被 称 作 迭 代 查 询 。 
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人 遍历。 最 终 ， 应 该 可 定位 得 到 与 该 查询 有 关 的 区 域 的 权威 DNS 服务 器 。 权 威 DNS 服 
务 器 将 读 取 所 查询 类 型 的 一 个 资源 记录 的 相应 区 域 信息 。 该 服务 器 将 资源 记录 (可 
能 有 多 条 记录 ) 传递 给 发 出 查询 请 求 (递归 ) 的 DNS 服务 器 。 

(7) 当 接收 到 答案 时 ， 递 归 DNS 服务 器 将 向 解析 器 提供 该 答案 ， 同 时 更 新 其 组 
存 ， 过 程 终 止 。 如 果 没 有 找到 一 个 答案 ， 递 归 服 务 器 也 将 缓存 这 个 “负面 的 ”信息 ， 
用 于 对 类 似 查询 做 出 响应 。 

总 之 ， 解 析 过 程 包括 中 寻找 带 有 权威 信息 的 一 台 名 字 服 务 器 ， 以 便 解 析 存 在 疑问 
的 查询 ; @ 向 那 台 服务 器 查询 期 望 的 信息 。 在 我 们 的 范例 中 ， 期 望 的 信息 是 对 应 于 域 
名 pc52. ipamworldwide. com 的 了 了 地址。 将 被 查询 域名 映射 到 一 个 IP 地 址 的 这 个 “ 翻 
译 ” 信 息 ， 以 一 条 资源 记录 的 形式 被 存储 在 DNS 服务 器 之 中 。 为 不 同类 型 的 查询 定 
义 了 不 同类 型 的 资源 记录 。 每 条 资源 记录 包含 一 个 “主键 ” (key) 或 查找 值 和 一 个 
对 应 的 解析 或 答案 值 。 在 一 些 情形 中 ， 一 个 给 定 类 型 的 一 个 给 定 查 找 值 在 DNS 服务 
器 配置 中 可 能 有 多 个 表 项 。 在 这 种 情形 中 ， 权 威 DNS 服务 器 将 返回 资源 记录 (或 
RRSet) 的 整个 集合 ， 它 匹配 被 查询 的 值 (名 字 )、 类 和 类 型 。 在 下 一 章 我 们 将 详细 
讨论 资源 记录 。 

底部 一 行 是 ，DNS 服务 器 在 其 相应 域 信息 为 权威 的 域 树 的 所 有 层次 上 进行 配置 ， 
同时 还 有 沿 域 树 向 下 到 哪里 去 索引 查询 器 。 在 许多 情形 中 ， 在 不 同 层 次 的 这 些 服务 器 
是 被 不 同 组 织 机 构 管理 的 。 不 是 在 域 树 中 的 每 个 层次 或 节点 都 需要 不 同 的 DNS 服务 
器 集合 ， 原 因 是 一 个 组 织 机 构 会 在 一 个 DNS 服务 器 的 同一 集合 内 服务 多 个 域 层次 。 

虽然 域 树 的 上 三 层 典 型 地 使 用 不 同 管理 权威 之 下 的 三 个 DNS 服务 器 集合 , .但 在 
DNS 服务 器 单一 集合 上 支持 一 个 组 织 机 构 内 部 的 多 个 层次 或 域 却 是 一 项 部 署 决 策 的 
事情 。 这 个 决策 主要 根据 是 否 要 求 (RAE) 管理 委托 进行 授权 。 例 如 ，ipamworld- 
wide. com 域 的 DNS 管理 员 会 期 望 保留 dev. ipamworldwide. com 域 的 管理 控制 权限 ,但 
将 eng. ipamworldwide. com 委托 给 一 组 不 同 的 管理 员 和 名 字 服 务 器 。 这 引出 我 们 在 下 
面 就 区 域 和 域 之 间 的 不 同 进行 讨论 。 


9.3 区 域 和 域 


术语 “区 域 ”(zone) 是 就 域 (domain) 层次 结构 而 言 ， 区 分 管理 控制 的 层次 的 。 在 
我 们 的 范例 中 ，ipamworldwide. com 区 域 包含 ipamworldwide. com 和 dev. ipamworldwide. com 
域 的 权威 ， 而 eng. ipamworldwide. com 区 域 保留 eng. ipamworldwide. com 域 的 权威 ， 如 图 9-3 
所 示 。 

通过 委托 eng. ipamworldwide. com 的 权威 ，ipamworldwide. com 的 DNS 管理 员 们 同 
意 将 eng. ipamworldwide. com (以 及 域 树 中 eng. ipamworldwide. com 之 下 的 任何 子 域 ) 
的 所 有 解析 传递 给 运行 eng. ipamworldwide. com 区 域 的 员工 所 管理 的 DNS 服务 器 。 这 
些 eng. ipamworldwide. com 管理 员 们 可 自治 地 管理 他 们 的 域 和 资源 记录 以 及 任何 子 域 ; 
他 们 仅 需 要 通知 父 域 管理 员 们 (ipamworldwide. com 的 ) 当 解 析 器 或 其 他 DNS 服务 器 
尝试 沿 域 树 向 下 遍历 搜索 解析 时 ， 将 他 们 接收 到 的 查询 定向 到 哪里 。 
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Alt, ipamworldwide. com 区 域 的 管理 员 们 必须 为 ipamworldwide. com 区 域 配置 所 
有 的 资源 记录 和 配置 属性 ， 包 括 ipamworldwide. com 区 域内 部 的 各 子 域 ， 例 如 
dev. ipamworldwide. com 域 。 同 时 ，ipamworldwide. com 管理 员 们 必须 提供 到 任何 子 区 域 
(例如 eng. ipamworldwide. com) 的 一 条 委托 连接 关系 。 这 条 委托 连接 关系 是 以 如 下 方 
式 支持 的 ， 在 将 名 字 服 务 器 (NS) 资源 记录 输入 到 ipamworldwide. com 区 域 文件 内 ， 
指明 哪 台 名 字 服 务 器 是 eng. ipamworldwide. com 被 委托 区 域 的 权威 。 通 过 沿 域 树 向 下 
索引 解析 器 或 其 他 名 字 服 务 器 ， 这 些 NS 记录 提供 了 到 被 委托 子 区 域 的 连续 性 。 称 作 
粘 接 记录 的 对 应 A 或 AAAA 记录 也 通常 被 定义 将 被 解析 NS 主机 域名 粘 接 到 一 个 IP 
地 址 ， 从 而 支持 进一步 查询 的 直接 寻 址 。 

图 9-3 中 的 阴影 表明 ，ipamworldwide. com 域 包 含 ipamworldwide. com 节点 及 其 所 
有 的 子 节点 ， 突 出 显示 了 ipamworldwide. com 这 个 层次 的 责任 关系 及 其 “下 ”的 情况 。 
ipamworldwide. com DNS 管理 员 们 负责 维护 ipamworldwide. com 区 域 的 所 有 DNS 配置 信 
息 以 及 到 服务 被 委托 子 区 域 DNS 服务 器 的 转 荐 信息 。 因 此 ， 当 世界 各 地 的 其 他 DNS 
服务 器 (代表 其 客户 端 ) 在 尝试 解析 终结 于 ipamworldwide. com 中 的 任何 名 字 时 ， 它 
们 的 查询 将 要 求 遍 历 ipamworldwide. com DNS 服务 器 ,也许 还 有 其 他 DNS 服务 器 ， 例 
如 服务 eng. ipamworldwide. com 区 域 的 那些 服务 器 。 

将 名 字 空 间 委 托 的 过 程 支持 DNS 配置 的 自治 ， 同 时 通过 全 球 DNS 数据 库 内 部 的 
NS 记录 转 荐 提供 连接 关系 。 正 如 你 所 想象 的 ， 如 果 这 些 NS 记录 索引 的 名 字 服 务 器 不 
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可 用 的 话 ， 则 域 树 将 在 那个 点 是 断 开 的 ， 使 域 树 中 在 那个 点 或 之 下 的 名 字 不 可 解析 。 
如 果 eng. ipamworldwide. com DNS 服务 器 下 线 ， 则 eng. ipamworldwide. com 及 其 子 节点 
的 权威 解析 将 会 失效 。 这 形象 地 说 明 ， 出 于 宛 余 性 考虑 ， 要 求 每 个 区 域 必 须 至 少 有 两 
台 权 威 DNS 服务 器 。 

因此 ipamworldwide. com 区 域 的 管理 员 将 以 ipamworldwide. com 和 dev. ipamworldwide. com 
域 的 配置 和 解析 信息 来 配置 他 们 的 DNS 服务 器 ; 他 们 也 将 以 服务 被 委托 区 域 或 子 区 
域 的 DNS 服务 器 的 名 字 和 地 址 配置 他 们 的 服务 器 。 他 们 不 需要 知道 这 些 被 委托 区 域 
的 任何 知识 ; 仅仅 知道 要 联系 谁 ， 从 而 一 个 转 荐 可 被 发 送 到 发 出 查询 请 求 的 递归 DNS 
服务 器 。 

DNS 服务 器 配置 信息 由 服务 器 配置 参数 和 所 有 区 域 (该 服务 器 是 这 些 区 域 的 权 
威 ) 的 声明 组 成 。 这 个 信息 可 在 作为 一 个 给 定 区 域 集 的 权威 的 每 台 服 务 器 上 加 以 定 
义 。 资 源 记 录 的 添加 、 改 变 和 删除 、 每 个 区 域 配置 文件 内 的 离散 (discrete) 解析 信 
息 ， 可 在 一 台 主 (master) 服务 器 上 输入 一 次 ,或 更 准确 地 说 ,被 配置 为 相应 区 域 主 
服务 器 的 服务 器 上 输入 一 次 。 类 似 地 也 是 这 个 信息 的 权威 的 其 他 服务 器 可 被 配置 为 从 
属 的 (slaves) 或 辅助 的 (secondaries) 服务 器 ,通过 区 域 传递 的 过 程 ， 它 们 得 到 区 
域 更 新 。 区 域 传 递 使 一 台 从 属 服务 器 从 主 服务 器 得 到 权威 区 域 信息 的 最 新 拷贝 。 集 成 
微软 活路 目录 的 DNS 服务 器 ， 出 于 与 这 个 标准 过 程 兼容 的 考虑 ， 支 持 区 域 传递 ， 但 
也 支持 DNS 数据 复制 ， 方 法 是 使 用 本 地 的 活跃 目录 复制 进程 。 


9.3.1 区 域 信息 的 传播 


考虑 到 DNS 服务 在 解析 权威 信息 并 维护 域 树 连 接 关系 中 的 关键 地 位 ， 则 DNS 服 
务 器 元 余 就 是 必需 的 。 不 同 的 DNS 服务 器 厂商 采取 不 同 的 元 余 方 法 。 当 DNS 信息 被 
集成 到 活路 目录 (这 是 Windows Server 产品 的 架构 基础 ) 时 ,微软 将 DNS 信息 在 一 
组 域 控制 器 间 复 制 。ISC BIND 实现 通过 一 个 轮 辐 型 模型 (hub-and-spoke) 支持 DNS 
信息 复制 。 配 置 改变 是 依据 上 述 方法 输入 到 一 台 主 DNS 服务 器 的 。 元 余 DNS 服务 器 
被 配置 为 从 属 的 或 辅助 角色 ， 它 们 通过 区 域 传递 的 过 程 得 到 区 域 更 新 。 区 域 传递 使 一 
台 从 属 服务 器 能 够 从 主 服务 器 得 到 其 权威 区 域 信息 的 最 新 拷贝 。 出 于 与 这 个 标准 过 程 
的 兼容 性 考虑 ， 微 软 的 活跃 目录 集成 的 DNS 服务 器 也 支持 区 域 传递 。 

区 域 文件 的 版 本 由 一 个 区 域 序列 号 跟踪 记录 ， 该 序列 号 在 每 次 一 个 改变 施加 到 区 
域 时 ， 就 会 发 生 改变 。 将 从 属 服务 器 配置 为 周期 性 地 检查 设置 在 主 服务 器 上 的 区 域 序 
列 号 ; 如 果 为 区 域 定义 的 序列 号 大 于 其 自己 的 值 ， 则 它 会 做 出 结论 ， 即 它 有 超期 的 信 
息 ， 并 将 发 起 一 次 区 域 传递 。 另 外 ,该 区 域 的 主 服务 器 可 被 配置 成 通知 其 从 属 服务 
器 ， 发 生 了 一 次 改变 ， 促 使 从 属 服务 器 立刻 检查 序列 号 ， 并 实施 一 次 区 域 传递 ， 以 便 
比 等 待 正常 的 周期 性 更 新 检查 更 快速 地 得 到 更 新 。 

区 域 传递 可 由 称 作 一 次 绝对 区 域 传递 (AXFR) 的 整个 区 域 配置 文件 组 成 ， 或 仅 
由 称 作 一 个 增 量 区 域 传递 (IXFR) 的 增 量 更 新 组 成 。 在 区 域 信息 是 相对 静态 的 并 从 
单一 源 更 新 的 情形 (例如 一 名 管理 员 ) 中 ,依据 需要 而 采用 AXFR 的 序列 号 检查 法 
运行 良好 。 这 些 所 谓 的 静态 区 域 相 比 其 对 应 物 : 动态 区 域 ， 对 于 管理 员 而 言 ， 是 要 简 


126 IP 地 址 管理 原理 与 实践 








单 得 多 的 。 正 如 名 字 所 隐 含 的 ， 动 态 区 域 从 DHCP 服务 器 (比如 ) 接收 动态 更 新 ， 
以 新 指派 的 IP 地 址 和 相应 的 域名 更 新 DNS。 动 态 区 域 的 更 新 方法 可 利用 IXFR 机 制 ， 
在 主 服务 器 和 多 个 从 属 服务 器 间 维持 同步 。 

对 于 BIND 9， 在 每 台 服 务 器 上 的 日 志文 件 ， 可 提供 跟踪 区 域 信息 动态 更 新 的 一 
种 高 效 方法 。 这 些 日 志文 件 是 相应 区 域 文件 的 临时 附属 物 ， 直 到 服务 器 将 这 些 日 志 表 
项 写 人 到 区 域 文件 并 重新 载 人 区 域 信息 之 前 ， 支 持 动态 更 新 的 跟踪 记录 。 许 多 服务 器 
实现 将 区 域 文 件 信息 载 人 内 存 ， 还 有 为 了 快速 解析 ， 它 也 将 增 量 区 域 更 新 载 人 内 存 。 
我 们 将 在 本 章 后 面 详细 讨论 服务 器 和 区 域 信息 ， 但 首先 让 我 们 考虑 不 同 种 类 的 域 树 
结构 。 


9.3.2 RƏR 


直到 此 时 ， 我 们 介绍 了 常见 的 名 字 到 IP 地 址 的 解析 过 程 ， 它 为 一 个 名 字 解 析 定 
位 一 台 权 威 的 DNS 服务 器 ， 该 服务 器 之 后 对 查询 做 出 权威 响应 。 查 询 的 另 一 种 普遍 
形式 是 IP 地 址 到 名 字 的 解析 。 解 析 的 这 种 “ 反 向 (Reverse)” 形 式 被 普遍 用 作 一 种 
安全 检查 ， 是 当 建立 虚拟 专用 网 (VPN) 连接 或 通用 的 IP 地 址 到 主机 名 查找 时 才 使 
用 的 。 给 定 一 个 下 地 址 ,一 台 DNS 服务 器 如 何 遍 历 域 树 来 找到 一 个 主机 域名 呢 ? 在 
称 作 地 址 和 路 由 参数 区 (ARPA) 的 域内 为 基于 IP 地 址 的 域 树 定义 了 特殊 的 顶层 域 : 
为 IPv4 地 址 到 名 字 解 析 定 义 的 in-addr arpa, Jy IPv6 地 址 到 名 字 解 析 定 义 的 


ip6. arpa® 。 
JN 
根 域 > | 


树 顶 in—addr 


pce52.eng.ipamworldwide.com. 
个 体 主机 gg 
树叶 





192.0.2.203 





203.2.0.192.in — addr.arpa. 


个 体 耻 a 
树叶 





树 项 © ao > 
202 203 204 


图 9-4 了 地 址 反 向 域 树 映射 [1 


在 一 个 域 树 内 组 织 IP 地 址 的 唯一 缺陷 来 自 于 映射 一 个 IP 地 址 ， 它 从 左 到 右 读 ， 
即 从 不 太 详细 的 《网 络 ) 到 比较 详细 CP 主机 ) 信息 ， 而 读 取 一 个 域名 是 从 左 到 右 ， 
先是 比较 具体 的 (特定 主机 、 域 ) 到 不 太 具 体 的 ( 根 )。 因 此 , 将 下 地 址 反 向 ,以 
便 支持 域 层 次 结构 内 部 的 表示 ， 从 左 到 右 读 取 ， 从 比较 具体 的 信息 到 不 太 具 体 的 信 
息 。 在 图 9-4 中 对 此 进行 了 形象 地 图 示 。 


O ”从 技术 角度 看 ， 这 些 都 是 .arpa. TLD 的 子 区 域 。 
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您 可 能 注意 到 ， 点 分 十 进 制 表示 的 映射 方法 ， 支 持 反 向 域 到 基于 字 节 边界 的 网 络 
分 配 的 映射 。 例 如 ， 如 果 我 们 被 分 配 一 个 C 类 网 络 192. 0. 2. 0/24 作为 我 们 的 公共 空 
间 ， 就 可 容易 ?地 将 如 上 所 示 的 in-addr. arpa. 域 的 叶子 映射 到 个 体 主机 。 就 像 主机 名 
的 解析 一 样 ， 对 in-addr. arpa. 域 树 的 遍历 遵循 对 地 址 到 名 字 查 询 的 权威 解析 的 一 个 
类 似 过 程 。 指 针 (PoinTeR, PTR) 资源 记录 ， 提 供 从 地 址 到 主机 的 一 个 映射 ， 我 们 
将 在 下 一 章 中 讨论 。 

但 如 果 我 们 被 分 配 的 子 网 不 在 字 节 边界 ， 情 况 会 如 何 呢 ? 例如 ， 如 果 我 们 被 分 配 
一 个 /23 子 网 ， 而 不 是 一 个 /24 子 网 ， 则 网 络 地 址 可 被 表示 为 192. 0. 2. 0/23 。 这 个 /23 
子 网 实际 上 由 两 个 /24 网 络 组 成 : 192. 0. 2. 0/24 和 192. 0. 3. 0/24。 对 应 于 这 些 字 节 归 
一 化 (normalized) 的 网 络 地 址 的 两 个 反 向 域 2.0. 192. in-addr. arpa 和 3. 0. 192. in- 
addr. arpa， 将 需要 配置 在 DNS 内 部 ， 从 而 允许 这 个 /23 网 络 内 主机 的 反 向 查找 。 

如 果 所 分 配 的 子 网 要 比 一 个 C 类 网 络 小 ， 则 需要 一 种 更 复杂 的 表示 和 区 域 文件 
配置 。 举 个 例子 ， 假 定 我 们 为 一 个 远 端 办 事 处 分 配 一 个 子 网 192. 0. 2. 0/25 。 如 果 我 们 
尝试 将 对 应 的 反 向 域 表 示 为 2. 0. 192. in-addr. arpa， 这 将 包括 192. 0. 2. 0/24 网 络 的 期 
望 的 一 半 网 络 , 但 也 包括 了 该 网 络 的 “ 另 一 半 ” 网 络 ， 即 192. 2. 128. 25 网 络 。 但 这 
另 一 半 网 络 可 能 分 配给 了 一 个 不 同 的 组 织 机 构 ， 它 有 其 自己 的 DNS 权威 (授权 ) 
(authority) 。 在 那 种 情形 中 ， 因 为 有 类 的 (classful) 反 向 区 域 分 割 到 了 两 个 权威 机 
构 ， 那 么 谁 将 管理 这 个 有 类 的 (classful) 反 向 区 域 呢 ? 解决 方案 是 指明 ， 将 第 4 字 节 
的 那 部 分 对 应 到 反 向 域名 字 所 应 用 的 子 网 。 

RFC 2317') 规范 了 在 in-addr. arpa 区 域名 内 使 用 CIDR 表示 法 。 因 此 ， 直 接 将 各 
点 之 间 所 分 配子 网 的 号 码 反 向 ， 我 们 得 到 如 下 : 对 于 网 络 192. 0.2.0/25， 对 应 的 反 向 
W 是 0/25. 2. 0. 192. in-addr. arpas 。 这 个 C 类 网 络 的 “ 另 一 半 ” 将 是 128/ 
25. 2. 0. 192. in-addr. arpa。 较 小 规格 的 子 网 将 遵循 一 种 类 似 的 表示 法 ， 它 使 用 网 络 地 
址 的 第 四 个 字 节 ， 接 着 是 / < 网 络 规格 > ， 接 着 是 IP 地 址 反 向 的 其 他 三 个 字 节 ， 之 后 
附 接 上 in-addr. arpa, 

但 当 一 个 解析 器 发 出 一 条 查询 时 ， 它 将 以 185. 2. 0. 192. in- addr. arpa. 的 形式 查询 
一 个 特定 的 地 址 (PTR 记录 ) ， 那 么 在 128/25. 2. 0. 192. in-addr. arpa 的 情形 中 ， 我 们 
如 何 将 这 个 查询 映射 到 合适 的 区 域 文件 呢 ? 解决 方法 是 (call for) ， 使 用 父 区 域 
(2. 0. 192. in-addr. arpa.) 中 的 规范 名 (CNAME) 记录 ， 有 选择 地 指向 合适 的 被 委托 
区 域 ， 每 个 被 委托 区 域 可 能 由 独立 的 DNS 管理 员 所 管理 。 一 个 CNAME 记录 用 作 一 条 
给 定 记 录 的 一 个 别名 ， 之 后 引导 查询 器 查询 该 别名 。 在 这 种 情形 中 ， 需 要 针对 每 个 个 
体外 地 址 产生 一 条 CNAME 记录 ， 并 映射 到 一 个 对 应 的 RFC 2317 风格 的 反 向 区 域 ， 


日 ”当然 “容易 ”是 一 个 相对 的 术语 ,但 一 旦 您 熟悉 了 反 向 域 ， 则 至 少 这 样 的 有 类 网 络 是 容易 可 视 化 
为 反 向 域 的 。 

© BR RFC 2317 规范 了 在 这 些 域名 内 使 用 斜 线 (/) ， 但 许多 DNS 管理 员 以 短线 (-) 替换 之 ， 目 
的 是 将 区 域名 与 文件 名 关联 起 来 ， 文 件 名 是 不 能 包含 斜 线 的 。 因 此 ， 我 们 可 将 这 个 区 域 表 示 为 0- 
25. 2. 0. 192. in-addr. arpa， 它 定义 在 区 域 文件 db. 0-25. 2. 0. 192. in-addr. arpa 内 。 下 面 我 们 将 遵循 
RFC 2317， 但 短线 也 是 可 以 使 用 的 。 
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这 种 做 法 支持 将 各 子 网 的 记录 委托 给 不 同 的 子 区 域 管理 员 。 

让 我 们 看 看 ,在 我 们 的 范例 情形 中 ,这 是 如 何 工 作 的。 在 对 应 于 这 个 
2. 0. 192. in-addr. arpa. 区 域 的 父 区 域 文件 内 ， 我 们 将 配置 如 下 信息 ”。 

2.0. 192. in-addr. arpa. IN SOA dns. ipamworldwide. com. 

admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 


$ ORIGIN 2. 0. 192. in- addr. arpa. //implicit ( 隐 式 的 ) 

0/25 IN NS dns. Al. ipamworldwide. com. //authoritative servers ( 权威 服务 器 ) 
IN NS dns. A2. ipamworldwide. com. // for 0/25 

1 IN CNAME 1. 0/25. 2. 0. 192. in- addr. arpa. 

2 IN CNAME 2. 0/25. 2. 0. 192. in- addr. arpa. 

3 IN CNAME 3. 0/25. 2. 0. 192. in- addr. arpa. 


127 IN CNAME 127. 0/25. 2. 0. 192. in- addr. arpa. 

128/25 IN NS dns. B1. ipamworldwide. com. //authoritative servers ( 权威 服务 器 ) 
IN NS dns. B2. ipamworldwide. com. // for 128/25 

129 IN CNAME 129. 128/25. 2. 0. 192. in- addr. arpa. 

130 IN CNAME 130. 128/25. 2. 0. 192. in- addr. arpa. 

131 IN CNAME 131. 128/25. 2. 0. 192. in- addr. arpa. 


254 IN CNAME 254. 128/25. 2. 0. 192. in- addr. arpa. 

依据 标准 的 域 树 遍历 过 程 ， 当 发 出 查询 的 名 字 服 务 器 查询 2. 0. 192. in- addr. arpa. 
区 域 的 权威 DNS 服务 器 时 ， 在 相应 DNS 服务 器 上 如 上 所 见 的 文件 并 不 提供 一 个 解析 ， 
而 是 下 一 步骤 ， 将 期 望 的 瑟 地 址 应 答 ， 通 过 一 条 CNAME 记录 ， 指 向 另 一 个 FQDN。 
迄今 为 止 的 过 程 中 ， 对 IP 地 址 192. 0.2. 185 的 主机 名 的 查询 ， 将 得 到 指向 185. 128/ 
25. 2. 0. 192. in-addr. arpa 的 一 个 CNAME 。 我 们 也 知道 要 问 谁 来 解析 这 条 查询 ， 原 因 
是 有 两 条 NS 记录 列 为 关联 域 128/25.2.0.192. in-addr. arpa. 的 权威 ， 即 
dns. B1. inparworldwide. com 和 dns. B2. iparmworldwide. com, 

在 这 些 服务 器 上 的 相应 128/25. 2. 0. 192. in-addr. arpa. 区 域 文件 将 包含 如 下 信息 。 

128/25. 2. 0. 192. in-addr. arpa. IN SOA dns. B1. ipamworldwide. com. 

admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 

128/25. 2. 0. 192. in- addr. arpa. IN NS dns. B1. ipamworldwide. com. 

128/25. 2. 0. 192. in- addr. arpa. IN NS dns. B2. ipamworldwide. com. 

129. 128/25. 2. 0. 192. in- addr. arpa. IN PTR publicl. ipamworldwide. com. 

130. 128/25. 2. 0. 192. in- addr. arpa. IN PTR public2. ipamworldwide. com. 

131. 128/25. 2. 0. 192. in- addr. arpa. IN PTR www. ipamworldwide. com. 


O 在 本 书 中 的 DNS 配置 文件 名 范例 都 使 用 BIND DNS HRU 
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或 使 用 “相对 ”域名 的 缩写 格式 。 

@ INSOA dns. B1. ipamworldwide. com. admin. ipamworldwide. com. (1 2h30m 
lw ld ) 

// Implicit $ ORIGIN 128/25. 2. 0. 192. in- addr. arpa. 

IN NS dns. B1. ipamworldwide. com. 

IN NS dns. B2. ipamworldwide. com. 

129 IN PTR publicl. ipamworldwide. com. 

130 IN PTR public2. ipamworldwide. com. 

131 IN PTR www. ipamworldwide. com. 





185 IN PTR server-x. ipamworldwide. com. 

查询 这 个 区 域 文件 ， 查 找 这 个 被 索引 的 CNAME 别名 到 185. 128/25. 2. 0. 192. in- 
addr. arpa. ， 我 们 找到 PTR 记录 ， 它 指向 关联 的 主机 名 server-x. ipamworldwide. com, 
这 就 完成 了 解析 。 

对 于 大 于 C 类 网 络 的 非 字 节 边界 的 网 络 ( 即 /9 ~ 15 和 /17 ~/23 ) ， 可 使 用 域 别 
名 (DNAME) 记录 。 例 如 ，172. 16. 0.0/14 网 络 就 可 被 分 配 并 委托 给 工程 组 的 一 名 
管理 员 。 有 关 这 个 网 络 的 反 向 查询 可 指向 到 工程 组 的 DNS 服务 器 ,按照 如 下 范例 是 
dns [1-2] . eng. ipamworldwide. com， 被 配置 在 172. in-addr. arpa. 区 域 文件 内 。 

16/14. 172. in-addr. arpa. IN NS dns1. eng. ipamworldwide. com 

16/14. 172. in-addr. arpa. IN NS dns2. eng. ipamworldwide. com 

16. 172. in- addr. arpa. IN DNAME 16. 16/14. 172. in- addr. arpa. 

17. 172. in- addr. arpa. IN DNAME 17. 16/14. 172. in-addr. arpa. 

18. 172. in- addr. arpa. IN DNAME 18. 16/14. 172. in- addr. arpa. 

19. 172. in- addr. arpa. IN DNAME 19. 16/14. 172. in- addr. arpa. 

这 些 表 项 将 所 有 四 个 /16 网 络 (组 成 工程 组 的 /14 网 络 ) 的 反 向 查找 委托 给 他 们 
的 DNS 服务 器 ， 由 上 所 示 的 前 两 条 记录 指明 。 接 下 来 的 四 条 记录 将 这 四 个 /16 反 向 域 
映射 到 这 个 被 委托 的 16/14. 172. in-addr. arpa. 域 。 

ARE, 我们 在 反 向 树 中 插入 了 一 个 人 为 制造 的 层 ， 用 作 一 个 合并 (consolida- 
tion) 点 。 因 此 , 为 了 解析 IP 地 址 为 172. 18. 45. 94 的 一 台 主 机 的 PTR 记录 ,解析 名 
字 服 务 器 将 沿 172. in-addr. arpa. 树 向 下 遍历 。 向 下 的 下 一 个 节点 18. 172. in- 
addr. arpa. ， 依 据 DNAME ÆR, 具有 18. 16/14. 172. in-addr. arpa. 的 一 个 域 别名 。 接 
下 来 ， 通 过 查询 dnsl. eng. ipamworldwide. com 的 DNS 服务 器 (ÈC Æ 16/14. 172. in- 
addr. arpa. 区 域 的 权威 服务 器 ) ， 则 我 们 在 这 个 区 域内 解析 相应 的 PTR 表 项 。 

94. 45. 18. 172. in-addr. arpa. IN PTR host. eng. ipamworldwide. com. 


9.3.3 IPv6 反 向 域 


IPv6 反 向 域 映射 要 有 点 麻烦 。 和 IPv4 的 情况 一 样 ，IPv6 地 址 必须 被 反 向 ， 依 此 
维持 其 十 六 进 制 格 式 。 但 IPv6 地 址 首先 必须 被 “填充 ”到 完全 的 32 个 十 六 进 制 数字 
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形式 ; 即 在 第 2 章 中 讨论 的 两 种 缩写 形式 必须 被 消除 ， 方 法 是 在 冒号 之 间 包 括 前 导 
零 ， 并 将 双 冒 号 表示 的 隐 含 零 填 充 到 位 。 图 9-5 形象 地 说 明了 IPv6 地 址 2001: DBE: 
B7:: A8E1l 的 一 个 范例 过 程 。 地 址 必须 被 扩展 或 填充 ， 各 个 数字 要 做 反 向 处 理 。 之 
后 ， 必 须 对 这 个 结果 做 “ 域 化 ”处 理 , 方法 是 消除 冒号 ， 在 每 个 数字 之 间 插 入 点 号 
(. )， 并 附加 ip6. arpa. 顶层 域 。 


2001: DB8:B7:: A8E1 
Sha 
2001:0DB8:00B7: 0000 : 0000: 0000 :0000: A8E1 
Ban 
1E8A :0000 : 0000 : 0000 : 0000 : 7B00 : 8BDO : 1002 
1.E.8.A.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7B.0.0.8.B.D.0.1.0.0.2.ip6.arpa. 


图 9-5 IPv6 地 址 到 反 向 域 的 映射 


图 9-6 形象 地 说 明了 对 IPv6 地 址 反 向 的 逻辑 ， 目 的 是 将 其 表示 在 一 个 域 层 次 结 
构 中 ， 从 左 到 右 读 取 时 ， 是 从 比较 具体 的 信息 到 不 太 具 体 的 信息 顺序 的 。 这 可 直接 类 
比 于 图 9-4， 那 个 图 形象 地 说 明了 用 于 IPv4 地 址 的 这 个 概念 。 在 图 9-6 中 所 用 的 完全 
的 32 个 十 六 进 制 数字 形式 ， 提 供 了 沿 ip6. arpa. 域 树 向 下 的 一 个 唯一 的 (虽然 有 点 
长 ) 的 遍历 (在 图 中 没有 画 出 )。 


2001:DB8:B7::A8 














9-6 ”IPv6 反 向 域 表示 法 


注意 这 个 范例 形象 地 说 明了 一 个 完全 128bit IPv6 地 址 的 反 向 域 表 示 。 和 IPv4 中 
一 样 ， 各 子 网 可 具有 对 应 的 反 向 域 定义 。 对 于 一 个 /64 分 配 ， 仅 有 开始 的 64bit (16 
个 十 六 进 制 数字 ) 可 被 包括 在 内 。 因 此 ， 对 于 上 面 的 主机 ， 其 /64 子 网 反 向 区 域 表示 
将 被 定义 为 

0. 0. 0. 0. 7. B. 0. 0. 8. B. D. 0. 1. 0. 0. 2. ip6. arpa. 

对 于 在 非 尼 伯 边界 上 分 配 的 TP v6 网 络 的 反 向 域 表 示 方 法 ， 在 RFC 2317 中 没有 得 
到 正式 解决 ; 但 是 ， 在 规范 中 确定 的 相同 技术 可 被 映射 到 对 应 于 非 尼 伯 边 界 的 IPv6 
地 址 块 分 配 的 IPv6 反 向 区 域 。 让 我 们 以 范例 形象 地 说 明 这 点 。 假 定 北 美 团队 (team) 
期 望 从 其 2001: db8: 4af0: 8000:; /52 地 址 块 分 配 四 个 /54 地 址 块 ， 即 2001: db8: 
4af0: 8000:: /54、2001: db8: 4af0; 8400:: /54、2001:; db8: 4af0 : 8800;: /54 和 
2001; db8: 4af0: 8c00:: /54。 使 用 CNAME 资源 记录 的 方法 ,将 查询 器 指向 负责 对 
应 的 反 向 区 域 的 服务 器 ， 则 8. 0.f a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa 区 域 文件 看 起 来 有 
点 像 下 面 的 内 容 。 

8.0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. IN SOA dns. ipamworldwide. com. 
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admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 
$ ORIGIN 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. //implicit( ASR AY ) 
0/54 IN NS dns. A1. ipamworldwide. com. //authoritative servers( 权 威 服务 器 ) 
IN NS dns. A2. ipamworldwide. com. // 对 于 2001 :db8 :4af0 :8000 : 
/54 
IN CNAME 0. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
IN CNAME 1. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
IN CNAME 2. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
IN CNAME 3. 0/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
4/54 IN NS dns. B1. ipamworldwide. com. //authoritative servers ( 权威 服 务 器 ) 
IN NS dns. B2. ipamworldwide. com. // 对 于 2001 :db8 :4af0 ; 
8400; :/54 
4 IN CNAME 4. 4/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
5 IN CNAME 5. 4/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
6 IN CNAME 6. 4/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
7i IN CNAME 7. 4/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
8/54 IN NS dns. C1. ipamworldwide. com. //authoritative servers ( 权威 服务 髓 ) 
INNSdns. C2. ipamworldwide. com. // 对 于 2001 ; db8 :4af0 ;8800; ;/54 
8 IN CNAME 8. 8/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
9 IN CNAME 9. 8/54. 8. 0. f. a. 4: 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
a IN CNAME a. 8/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
b IN CNAME b. 8/54. 8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. 
c/54 IN NS dns. D1. ipamworldwide. com. //authoritative servers( 权 威 服务 器 ) 
INNSdns. D2. ipamworldwide. com. // 对 于 2001 ; db8 ;4af0 :8c00 ; :/54 
c IN CNAME c. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
d IN CNAME d. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
e IN CNAME e. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
f IN CNAME f. c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. 
遵循 标准 域 树 遍历 过 程 ， 当 发 出 查询 的 名 字 服 务 器 查询 8. 0. f a 4. 8. b. d. 0. 1.0. 
0. 2. ip6. arpa. 区 域 的 权威 DNS 服务 器 时 ， 在 对 应 DNS 服务 器 上 的 上 述 文件 ， 提 供 的 
不 是 一 个 解析 ， 但 下 一 步 ， 通 过 一 个 CNAME 记录 ， 将 期 望 的 IPv6 地 址 答案 指向 另 一 
个 FQDN。 在 迄今 为 止 的 过 程 中 ,请 求 IP 地 址 为 2001: db8: 4af0; 8d03:: f6 的 主机 
名 的 一 条 PTR 查询 ， 得 到 指向 d. c/54. 8.0.f.a.4.8.b.d.0.1.0.0.2.ip6. arpa 的 一 个 
CNAME。 我 们 也 知道 为 解析 这 条 查询 要 问 谁 ， 原 因 是 有 两 条 NS 记录 被 列 为 这 个 域 的 
权威 ， 即 dns. D1. ipamworldwide. com 和 dns. D2. ipamworldwide. com, 
在 这 些 服务 器 上 对 应 的 d. c/54. 8. 0.f a. 4. 8. b. d. 0. 1.0.0. 2. ip6. arpa. 区 域 文件 ， 


将 包含 如 下 内 容 。 
c/54. 8. 0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa. IN SOA dns. D1. ipamworldwide. com. 


won = © 
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admin. ipamworldwide. com. ( 1 2h 30m 1w 1d ) 
IN NS dns. D1. ipamworldwide. com. 
IN NS dns. D2. ipamworldwide. com. 
1. 0. b. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. c IN PTR publicl. ipamworldwide. com. 
0. 2.0. a. 4. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. c IN PTR public2. ipamworldwide. com. 
f. c. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3.0. d IN PTR www. ipamworldwide. com. 


6. f. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 3. 0. d IN PTR server-y. ipamworldwide. com. 

为 这 个 索引 的 CNAME 别名 ， 即 6.f 0. 0. 0. 0. 0. 0. 0. 0.0.0.0. 0. 0. 0. 3. 0. d. c/54. 
8. 0. f. a. 4. 8. b. d. O. 1. 0. 0. 2. ip6. arpa. ， 查 询 这 个 区 域 文件 ， 我 们 发 现 PTR 记录 指向 
关联 的 主机 名 server-y. ipamworldwide. com， 这 就 完成 了 解析 。 


9.3.4 其 他 区 域 


(1) 根 线索 。 在 解析 过 程 的 综述 中 ， 我 们 提 到 了 一 个 线索 文件 。 这 个 文件 应 该 
提供 DNS 服务 器 名 和 地 址 的 一 个 列表 (以 NS、A 和 AAAA 资源 记录 的 形式 提供 ) ， 
如 果 解 析 器 查询 不 能 通过 权威 的 、 转 发 的 或 缓存 的 数据 得 到 解析 ， 则 服务 器 应 该 查询 
这 个 列表 。 典 型 情况 下 ， 线 索 文 件 将 列 出 因特网 根 服务 器 (多 台 服 务 器 ) ， 它 们 是 域 
树 之 根 (.) 的 权威 服务 器 。 为 了 定位 要 解析 查询 的 一 台 权 威 服务 器 ， 对 一 台 根 服务 
器 的 查询 的 做 法 ， 使 发 出 查询 的 服务 器 从 顶部 开始 ， 沿 域 树 向 下 开始 遍历 。 因 特 网 根 
服务 器 的 根 文 件 内 容 可 从 www. internic. net /zones/ named. root 得 到 ， 虽 然 BIND 和 微 
软 DNS 服务 器 实现 在 它们 的 发 布 时 就 包括 了 这 个 文件 。 

如 我 们 将 在 第 11 章 讨论 的 ,一 些 环境 会 要 求 使 用 根 服务 器 的 一 个 内 部 集合 ， 

中 因特网 访问 受到 组 织 机 构 策略 的 限制 。 在 这 种 情形 中 ， 可 使 用 线索 文件 的 一 个 内 部 
版 本 ， 它 列 出 内 部 服务 器 (而 不 是 因特网 根 服务 器 ) 的 名 字 和 地 址 。 组 织 机 构 自己 
将 需要 维护 内 部 根 服务 器 的 列表 及 其 必要 的 (requisite) 根 区 域 配置 。 

(2) 本 地 主机 区 域 。 证 明 必 不 可 少 的 另 一 个 区 域 文 件 是 本 地 主机 区 域 。 本 地 主 
机 区 域 使 在 给 定 服务 器 上 将 “localhost” 解 析 为 一 个 主机 名 。 一 个 相应 的 in- 
addr. arpa. 区 域 文件 解析 127. 0. 0. 1 回环 地 址 。 在 0. 0. 127. in-addr. arpa 区 域内 的 单一 
表 项 将 地 址 1 映射 到 主机 自己 。 需 要 这 个 区 域 的 原因 是 ， 对 于 127. in-addr. arpa 域 或 
子 域 ， 是 不 存在 上 游 (upstream) 权威 的 。 类 似 地 ， 对 于 相应 的 IPv6 回环 地 址 :: 1, 
需要 定义 IPv6 等 价 物 。 主 机 名 区 域 简单 地 将 本 地 主机 名 映射 到 其 127.0.0.1 或 :: 1 
等 耻 地 址 ， 分 别 使 用 一 条 A 和 一 条 AAAA 记录 。 


9.4 解析 器 配置 


就 像 DHCP 事务 一 样 ，DNS 解析 发 生 在 后 台 ， 并 涉及 一 个 客户 端 和 一 个 服务 器 。 
理想 情况 下 ， 终 端 用 户 甚至 都 不 知道 它 发 生 过 ; 他 们 键入 一 个 web 地 址 并 连接 。 解 析 
器 软件 必须 配置 有 解析 时 要 查询 的 DNS 服务 器 (可 能 是 多 台 服 务 器 ) 。DHCP RER 
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初始 客户 端 配置 (原因 是 它 只 需 简 单 地 向 一 个 周知 的 地 址 广播 或 组 播 即 可 ) ， 因 此 ， 
与 此 不 同 的 是 ， 在 使 用 之 前 ，DNS 确实 需要 某 种 基本 的 客户 端 配置 。 这 种 初始 配置 
可 采取 人 工 完成 或 从 一 台 DHCP 服务 器 得 到 这 个 信息 来 完成 。 

图 9-7 形象 地 说 明了 一 个 微软 Windows 解析 器 的 配置 ， 它 采取 人 工 定义 要 查询 的 
DNS 服务 器 ， 或 使 用 DHCP 自动 地 得 到 DNS 服务 器 地 址 。 

微软 Windows 在 其 图 形 界面 内 可 配置 要 查询 的 多 台 DNS 服务 器 表 项 。 注 意 ， 在 
图 9-7 右 侧 的 屏幕 上 所 示 的 “ 蛮 力 ” (brute force) 方法 中 有 两 个 表 项 ， 一 个 表 项 用 于 
首选 ， 另 一 个 表 项 是 替代 表 项 。 以 特定 顺序 单 击 高 级 标签 (tab) 就 激活 了 两 个 以 上 
的 表 项 。 我 们 建议 ， 为 解析 器 至 少 要 配置 两 台 DNS 服务 器 ， 以 便 预 防 一 台 DNS 服务 
器 不 能 工作 的 情形 ， 这 时 解析 器 将 自动 地 查询 一 台 蔡 代 服 务 器 。 如 果 “ 自 动 得 到 
DNS 服务 器 地 址 ” (Obtain DNS server address automatically) 单 选 按钮 被 选中 ， 如 图 9- 
7 所 示 ， 则 解析 器 将 通过 DHCP 得 到 DNS 服务 器 的 一 个 列表 。 
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图 9-7 Microsoft Windows 操作 系统 上 ， 要 被 查询 的 DNS 服务 器 IP 地 址 配置 


在 基于 UNIX 或 Linux 操作 系统 上 ，/etc/resolv. conf 文件 是 可 编辑 的 ， 以 此 配置 
解析 器 。 在 这 个 文件 中 的 关键 参数 是 指向 DNS 服务 器 的 一 个 或 多 个 nameserver 声明 语 
句 ， 但 许多 选项 和 附加 指令 (directive) 支持 进一步 的 配置 细 化 ， 如 下 描述 。 斜 体 文 
本 应 该 由 实际 索引 的 数据 替换 ， 例 如，domain 应 该 以 一 个 DNS 域名 替换 。 

(1) nameserver IP_address。 查 询 名 字 解 析 的 一 台 递 归 DNS 服务 器 的 IP 地 址 ; 允 
许 并 鼓励 有 多 个 nameserver 表 项 。nameserver 表 项 指令 解析 器 到 哪里 去 指向 (direct) 
DNS 查询 。 

(2) domain domain, DNS 域 ， 是 这 人 台 主 机 所 在 的 域 ， 在 主机 上 安装 了 这 个 解析 
器 。 相 对 于 完全 合格 的 主机 域名 而 言 ， 当 解析 相对 主机 名 时 使 用 这 个 选项 。 

(3) search domain (*) 。 多 达 六 个 域 的 搜索 列表 ， 到 这 些 域 搜索 输入 的 主机 
名 ， 以 便 进行 解析 。 因 此 ， 如 果 我 们 键入 www 进行 解析 ， 则 解析 器 将 后 续 地 将 这 
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个 参数 中 配置 的 域 附加 其 后 ， 以 便 尝试 解析 该 查询 。 如 果 在 resolv. conf 中 存在 表 项 
search ipamworldwide. com. ， 表 项 www 将 得 到 www. ipamworldwide. com 的 一 个 解析 
尝试 。 

(4) sortlist address/mask list。 依 据 地 址 / 掩 码 组 合 的 指派 列表 ， 支持 被 解析 IP 地 
址 的 排序 。 这 使 在 针对 一 条 查询 返回 多 个 P 地 址 时 ,解析 器 可 选择 一 个 “ 较 近 的 ” 
目的 地 。 

(5) options。 在 下 面 各 项 参数 之 前 的 关键 字 ， 这 些 参数 支持 规范 相应 的 解析 器 参 
数 ， 包 括 如 下 参数 。 

1) debug。 打 开 调 试 。 

2) ndots n。 解 析 器 将 考虑 分 析 之 前 ， 在 所 要 求 输入 名 内 部 ， 为 点 号 数 定义 一 个 
阔 值 ， 被 输入 的 名 字 简 单 地 是 一 个 主机 名 或 一 个 合格 的 域名 。 当 考虑 一 个 主机 名 时 ， 
将 被 查询 的 主机 名 ， 其 后 将 附加 domain 或 search 参数 内 确定 的 域名 。 

3) timeout n。 在 认为 查询 失败 之 前 ， 查 询 尝试 的 次 数 。 

4) rotate。 支 持 在 nameserver 指令 内 所 配置 的 DNS 服务 器 间 ， 实 施 轮转 查询 。 每 
次 查询 将 被 发 送 到 一 台 不 同 的 服务 器 ， 并 如 此 循环 进行 。 

5) no-check-names。 关 闭 对 要 被 解析 的 输入 主机 名 的 名 字 检 查 。 正 常情 况 下 ， 
例如 ， 下 划 线 字符 是 不 允许 出 现 的 ， 所 以 设置 这 个 选项 ， 就 可 在 不 对 输入 主机 名 进行 
验证 的 情况 下 ， 使 查询 处 理 继续 进行 。 

6) inet6。 使 解析 器 在 尝试 一 个 A 记录 查询 之 前 ， 为 解析 输入 的 主机 名 ， 发 出 针 
对 一 个 AAAA 记录 的 一 条 查询 。 

search 和 options 设置 也 可 在 每 个 进程 基础 上 ， 通 过 相应 的 环境 变量 设置 ， 并 加 以 
覆盖 o 


9.5 DNS 消息 格式 


9.5.1 域名 的 编码 


到 此 为 止 ， 我 们 讨论 了 如 下 内 容 : 将 DNS 信息 组 织 成 一 个 域 层次 结构 ， 一 个 客 
户 端 或 解析 器 如 何 实施 解析 的 基础 知识 。 后 者 的 做 法 是 向 一 台 DNS 服务 器 发 出 一 条 
递归 查询 ，DNS 服务 器 接 下 来 依据 域 层 次 结构 ， 和 迭代 地 发 出 查询 ， 目 的 是 得 到 查询 
的 答案 。 接 下 来 我 们 将 较 深入 地 挖掘 DNS 查询 消息 格式 和 通用 的 消息 格式 ,但 首先 
我 们 将 介绍 DNS 消息 内 部 域名 的 表示 。 域 名 被 格式 化 为 标签 的 一 个 序列 。 各 标签 由 
如 下 各 项 组 成 : 一 个 字 节 的 长 度 字段 ， 后 跟 表示 标签 本 身 的 该 数量 (KRE) 的 字 节 / 
美国 信息 交换 标准 码 (ASCII) 字符 。 这 个 标签 序列 以 长 度 字段 为 0 表示 根 “.” 域 
的 方式 终结 。 例 如 ，www. ipamworldwide. com. 的 标签 序列 看 起 来 将 像 如 下 的 ASCII 格 
式 ， 其 中 长 度 字 节 以 图 9-8 中 较 黑 阴影 突出 显示 。 

以 左上 开始 ， 第 一 个 长 度 字 节 的 数值 “3”， 指 明 后 跟 的 三 个 字 节 组 成 第 一 个 标 
签 “www”。 在 这 个 标签 之 后 的 第 五 个 或 下 一 个 字 节 是 我 们 的 下 一 个 长 度 字 节 ， 它 具 
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有 数值 “13”(0xD) ， 它 是 “ipamworldwide. ”的 长 度 。 在 这 个 标签 之 后 ， 后 跟 字 节 
的 数值 “3” 是 “com. ”的 长 度 。 最 后 ， 为 零 值 的 字 节 指明 根 “. ” 域 ， 这 就 完整 地 
使 域名 符合 要 求 了 。 注 意 ， 图 中 的 较 黑 阴影 字 节 被 编码 为 长 度 字 节 ， 以 便 将 主机 或 包 
含 数字 的 域名 字符 区 分 开 来 。 一 个 名 字 中 的 第 一 个 字 节 将 几乎 总 是 ”一 个 长 度 字 节 ， 
后 跟 那 么 多 字 节 (长 度 表 示 的 ) ， 来 表示 第 一 个 标签 的 ， 并 为 了 去 除 二 义 性 而 直接 后 
跟 另 一 个 长 度 字 节 。 


0 bit | 






图 9-8 DNS 标签 


9.5.2 名 字 压 缩 


一 个 给 定 的 DNS 消息 可 包含 多 个 域名 ， 其 中 许多 域名 可 能 具有 重复 的 信息 ， 例 
如 ipamworldwide. com. 后 缀 。DNS 规范 支持 消息 压缩 ， 目 的 是 降低 重复 信息 ， 因 此 就 
降低 了 DNS 消息 的 尺寸 。 这 是 如 下 方法 发 挥 作用 的 ， 方 法 是 使 用 到 DNS 消息 内 部 其 
他 位 置 的 指针 ， 该 DNS 消息 确定 了 一 个 通用 的 域 后 级 。 之 后 将 这 个 域 后 缀 附加 在 由 
指针 索引 位 置 的 位 置 点 。 

让 我 们 举 一 个 例子 ， 即 我 们 对 www. ipamworldwide. com. 的 查询 返回 一 对 DNS AR 
务 器 ， 可 用 其 查询 更 多 的 信息 : nsl. ipamworldwide. com. 和 ns2. isp. com. 。 两 个 答案 
之 一 〈 第 一 个 答案 和 第 二 个 答案 ) ， 这 些 域名 的 ipamworldwide. com. 部 分 对 于 查询 是 
相同 的 ， 而 对 于 其 他 查询 仅 有 . com 部 分 是 相同 的 。 因 此 ， 消 息 是 如 下 形成 的 ， 方 法 
是 完整 地 确定 域名 www. ipamworldwide. com. ， 如 图 9-8 所 示 。 之 后 ， 当 确定 nsl 时 ， 
并 不 完整 地 确定 nsl. ipamworldwide. com， 仅 确定 nsl, 后 跟 指 向 消息 中 前 面 ipamworld- 
wide. com. 后 级 的 一 个 指针 。 当 识别 ns2. isp. com 时 ， 确 定 ns2. isp 标签 ， 后 跟 指向 消 
息 内 部 . com 后 缀 的 一 个 指针 。 

DNS 解析 器 和 服务 器 如 何 将 一 个 指针 与 一 个 标准 的 标签 长 度 字 节 做 出 区 分 呢 ? 
DNS 标准 规定 每 个 标签 的 长 度 为 0 ~ 63 个 字 节 。 以 二 进 制 表示 ， 就 是 00000000 ~ 
00111111。 因 此 ， 前 2bit， 在 这 种 情形 中 是 [00],， 将 该 字 节 标识 为 一 个 标准 长 度 字 
节 ， 指 明 后 跟 标 签 的 长 度 。 通 过 将 前 2bit 设置 为 [11],， 就 可 识别 一 个 指针 ， 它 由 两 
个 字 节 组 成 ， 其 中 [11], AER 14bit, 识别 从 DNS 首部 开始 的 字 节 偏 移 。DNS 消息 首 
部 的 第 一 个 字 节 被 看 做 字 节 0， 当 产生 消息 时 ， 指 针 是 这 样 定义 的 ， 即 从 这 个 点 开始 
的 字 节 偏 移 。 





晶 ”正如 我 们 接 下 来 将 讨论 的 ， 长 度 字 节 也 可 由 一 个 两 字 节 指针 或 一 个 DNS 扩展 标签 组 成 。 
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图 9-9 采用 指针 的 名 字 压 缩 


让 我 们 看 看 这 是 如 何 从 我 们 前 边 的 例子 中 进行 映射 的 。 让 我 们 假定 从 DNS 首部 
的 第 12 字 节 开始 ， 我 们 包括 域名 www. ipamworldwide. com。 现 在 ， 在 消息 的 后 面 ， 从 
首部 开始 的 第 56 字 节 起 ， 我 们 希望 对 响应 nsl. ipamworldwide. com 和 ns2. isp. com 进行 
编码 。 

图 9-9 说 明了 这 看 起 来 是 什么 样 的 。 如 我 们 在 前 面 讨 论 的 ， 第 一 部 分 是 长 度 字 节 
(黑色 阴影 ) 后 跟 对 应 数量 的 字 节 (亮色 阴影 )。 在 我 们 的 例子 中 ， 在 字 节 位 置 56 
处 ， 名 字 的 nsl 部 分 被 正常 地 编码 ， 使 用 的 是 标签 长 度 “3”， 后跟 ns1。 但 是 ， 下 一 
个 字 节 不 是 一 个 标准 的 长 度 字 节 ， 而 是 一 个 “ 双 字 节 ” 的 指针 ， 原 因 是 它 以 [11], 
开始 ， 并 显示 为 图 中 的 黑色 阴影 。 在 该 指针 的 14bit 偏 移 字 段 中 ， 编 码 的 数值 是 
“16”， 指 明 域 名 的 那 部 分 开始 于 从 DNS 首部 开始 的 第 16bit 字 节 偏 移 处 ， 这 部 分 域名 
应 该 附加 在 已 经 确定 的 nsl 标签 之 后 。 下 图 中 的 第 一 行 字 节 枚 举 了 各 字 节 偏 移 (A 
体 ) ， 第 16 字 节 是 数值 为 “13” 的 长 度 字 节 ， 后 跟 ipamworldwide 的 编码 ， 再 后 跟 数 
值 为 “3” 的 一 个 长 度 字 节 ， 之 后 是 com， 再 后 是 “. ”( 数 值 “0” 的 长 度 字 节 ) 。 将 
这 些 串 接 在 一 起 ， 我 们 得 到 结果 :， nsl. ipamworldwide. com, 

在 处 理 该 指针 之 后 ， 返 回 到 下 一 个 域名 ， 我 们 寻找 ns2. isp 的 编码 ， 后 跟 指向 字 
节 偏 移 30 的 ?一 个 指针 ， 它 指向 字 节 长 度 “3”, AR com. ， 这 就 完成 了 域名 
ns2. isp. com。 仅 考虑 这 三 个 范例 域名 ， 在 消息 中 由 域名 占据 的 字 节 数 可 被 压缩 ， 范 
围 是 59 ~ 39 个 字 节 。 


9.5.3 际 域 名 


DNS 解析 器 和 服务 器 以 ASCII 格式 的 消息 传递 主机 查询 和 响应 。 配 置信 息 是 以 
ASCO 文本 文件 形式 存储 的 。 不 幸 的 是 ，ASCII 字符 已 经 定义 用 来 有 效 地 表示 英语 ， 
它们 不 能 支持 其 他 语言 字符 的 格式 化 ， 特 别 是 使 用 非 拉丁 字母 的 那些 语言 。 这 个 限制 
当然 影响 了 不 使 用 英语 的 国家 的 国民 方便 使 用 卫 应 用 的 便利 性 。RFC 34905 是 一 个 





O ”注意 上 面 以 黑色 所 示 的 双 字 节 指 针 ， 被 显示 为 其 字 节 方式 的 十 进 制 数 表示 ， 在 我 们 的 例子 中 ， 按 照 惯例 
显示 为 第 2 字 节 中 以 十 进 制 表示 的 偏 移 。 但 仅 明显 地 陈述 一 下 ， 当 解析 一 个 指针 时 ， 不 要 仅 依 赖 于 这 第 
2 字 节 ， 原 因 是 一 个 指针 数值 可 从 0 到 2” =16384， 在 这 个 最 大 值 处 ， 十进制 表 示 将 为 255-255。 

© RFC 2673051 最 初 是 一 个 标准 跟踪 方式 的 RFC， 它 定义 了 在 DNS 名 字 内 使 用 二 进 制 数据 ， 但 RFC 
336311 将 RFC 2673 重 返 置 为 (reverted) 试验 状态 。 
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标准 跟踪 RFC， 它 解决 了 这 项 限制 2。 

该 REC 被 称 作 应 用 中 的 域名 的 国际 化 (IDNA)。 名 字 中 “应 用 中 ”这 个 修饰 语 
暗示 了 在 这 个 过 程 中 涉及 应 用 。 确 实 ， 对 应 用 (例如 浏览 器 或 电子 邮件 客户 端 施 
加 了 责任 (onus)， 它 将 用 户 的 母语 项 转换 为 一 个 基于 ASCII 的 字符 串 ， 为 进行 解析 
而 将 其 传递 到 一 台 DNS 服务 器 上 。 这 种 巧妙 的 方法 使 应 用 层 针 对 终端 用 户 而 支持 国 
际 字 符 集成 为 可 能 ， 而 并 不 影响 DNS 协议 (或 其 他 基于 ASCI AY IP, 如 SMTP). BE 
有 DNS 服务 器 可 被 配置 成 解析 这 些 ASCII 编码 的 域名 ， 就 像 解析 原本 基于 ASCI 的 域 
名 一 样 。 | 

国际 字符 集 被 编码 为 统一 编码 (Unicode) 字符 。 依 据 Unicode (单一 码 ) 联盟 
(Consortium) 网 站 (www. unicode. org), Unicode 标准 “为 每 个 字符 提供 了 一 个 唯一 
数 ， 而 不 管 是 什么 平台 、 什 么 程序 以 及 什么 语言 ” 。 每 个 字符 被 表示 为 一 个 唯一 的 2 
或 3 字 节 十 六 进 制 数 。RFC 3490 及 其 相关 的 RFC 3491"), 3454°° 和 34920 ， 描 述 
了 将 一 个 基于 Unicode 的 域名 转换 为 一 个 ASCII 格式 域名 的 过 程 。 注 意 从 技术 角度 而 
言 ， 域 标签 是 每 个 分 别 转换 的 ， 而 并 不 是 整个 “域名 ”转换 的 。 

为 了 解析 国际 域名 ， 一 台 DNS 服务 器 必须 被 配置 带 有 以 ASCII 格式 编码 的 资源 
记录 ， 特 别 是 Unicode 映射 的 ASCI 字符 ， 它 被 称 作 弱 码 (punycode) 。 弱 码 算法 的 输 
出 得 到 一 个 ASCI 字符 串 ， 之 后 以 ASC 兼容 编码 (ACE) 首部 xn-- 作 为 前 级 。 因 
此 ， 在 DNS 基础 设施 内 ， 表 示 为 xn-- < 附加 ASCII 字符 > 的 域 可 能 是 一 个 国际 域名 
的 弱 码 表示 。 应 用 (例如 网 页 浏览 器 ) 负责 将 用 户 输入 的 URL 转换 为 Unicode 格式 ， 
之 后 再 转换 弱 码 。 弱 码 域名 被 传递 到 客户 端 上 的 解析 器 ， 通 过 DNS 使 用 ASCII 字符 
进行 解析 。 在 RFC 3492 中 规范 了 弱 码 算法 ， 几 个 web 站 点 可 用 于 将 表 项 转换 到 DNS, 

考虑 一 个 范例 5 : 让 我 们 考虑 在 zdzblo. com 域 中 作为 www. zdzblo. com 的 一 台 
web 服务 器 主机 的 地 址 。 该 域名 包含 变 音符 号 ， 并 具有 ASCII 字符 集 外 的 字符 。 输 入 
这 个 URL 的 网 页 浏览 器 将 此 域名 转换 为 ASCI 字符 或 弱 码 为 www. xn--dbo-- 
iwalzb. com。 在 DNS 中 www. xn--dbo-iwalzb. com. 主机 的 对 应 A 或 AAAA 记录 表 项 将 
使 终端 用 户 能 够 输入 一 个 母语 的 URL， 同 时 利用 部 署 在 世界 各 地 的 现 有 DNS 服务 器 
基础 ， 通 过 目的 地 web 服务 器 的 IP 地 址 来 识别 和 连接 该 服务 器 。 净 结果 是 ， 在 通信 
导线 上 (on the wire) 发 送 的 这 些 DNS 消息 被 编码 为 ASCII 字符 。 


9.5.4 DNS 消息 格式 


现在 让 我 们 更 详细 地 看 看 用 来 实施 这 个 整体 解析 功能 的 DNS 消息 格式 ， 它 将 我 
们 较 早 讨论 的 标签 格式 的 域名 集成 在 了 一 起 。DNS 消息 默认 地 在 UDP 上 传输 的 ， 使 
用 端口 53 TCP 也 可 在 端口 53 上 使 用 。 一 条 DNS 消息 的 基本 格式 如 图 9-10 所 示 。 

(1) 消息 首部 包含 各 种 字段 ， 这 些 字段 定义 了 消息 的 类 型 和 关联 的 信息 ， 其 中 





© $Æ: 定义 “IDNA2003” 的 RFC 3490 已 被 RFC 5890-4113188] 这 四 个 RFC 所 更 新 ， 被 称 作 “ID- 
NA2008”， 这 每 个 版 本 均 有 规范 工作 开始 的 年 份 指示 。 在 这 些 版 本 间 存 在 一 些 差异 ， 但 一 般 而 言 ， 
本 节 中 的 资料 对 它们 均 适 用 。 
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包括 如 下 每 个 字段 的 记录 数 。 

(2) Question (问题 ) 节 确 定 通过 这 条 消息 被 查找 的 信息 。 

(3) Answer (WR) 节 包 含 零 个 或 多 个 资源 记录 ， 它 们 回答 问题 节 中 确定 的 
查询 。 

(4) Authority (权威 ) 节 包 含 零 个 或 多 个 资源 记录 ， 索 引 给 定 答案 的 权威 名 字 服 
务 器 ， 或 指向 沿 树 向 下 的 委托 名 字 服 务 器 ， 后 续 的 迭代 查询 可 向 此 服务 器 发 出 。 

(5) Additional (附加 ) 节 包 含 零 个 或 多 个 资源 记录 ,包含 与 问题 相关 的 附加 信 
息 ， 但 未 必 是 问题 的 严格 答案 。 





图 9-10 DNS 消息 字段 [99] 





9-11 DNS 消息 首部 '”] 


1. 消息 首部 

在 每 个 DNS 消息 上 包括 DNS 消息 首部 ， 并 传递 要 包含 的 消息 类 型 和 相关 联 的 参 
数 ， 如 图 9-11 所 示 。 

消息 首部 由 六 个 16bit 字段 组 成 。 

(1) 消息 看。 也 称 作 事务 ID ， 这 是 解析 器 指派 的 一 个 标识 符 ， 并 从 DNS 服务 器 
复制 到 应 答 中 ， 这 使 解析 器 将 响应 与 查询 关联 起 来 。 

(2) 代码 。 与 这 条 消息 关系 密切 的 消息 代码 。 我 们 接 下 来 详细 研究 这 些 代 码 
字段 。 

(3) 问题 计数 〈QDCOUNT) 。 在 DNS 消息 的 问题 节 中 包含 的 问题 数 。 

(4) 答案 记录 计数 (ANCOUNT) 。 在 DNS 消息 的 答案 节 中 包含 的 资源 记录 数 。 

(5) 权威 记录 计数 (NSCOUNT) 。 在 DNS 消息 的 权威 节 中 包含 的 资源 记录 数 。 

(6) 附加 记录 计数 (ARCOUNT) 。 在 DNS 消息 的 附加 节 中 包含 的 资源 记录 数 。 

定义 了 如 下 代码 比特 。 
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(1) QR (查询 /响应 )。 这 个 标志 表明 这 条 消息 是 一 条 查询 (0) 还 是 一 条 响应 
(1)。 

(2) Opcode (操作 码 )。 这 条 消息 的 操作 码 。 目 前 ,定义 了 如 下 数值 : 

1) 0= 查 询 。 

2) 1= 保 留 (以 前 是 反 向 查询 ， 目 前 废弃 不 用 )。 

3) 2 = 服务 器 状态 请 求 。 

4) 3 = 保留 。 

5) 4 = 通知 一 一 使 一 台 主 区 域 服 务 器 通知 拥有 同一 区 域 的 一 台 从 属 区 域 服务 器 
(从 属 服务 器 要 确认 )， 对 区 域 数据 作出 了 改变 。 对 于 通知 消息 ， 权 威 节 和 附加 节 是 
不 用 的 ， 在 DNS 首部 中 响应 的 记录 计数 应 该 设置 为 0。 

6) 5 = 更 新 一 一 使 一 个 客户 端 或 DHCP 服务 器 更 新 一 台 DNS 服务 器 上 的 区 域 数 
据 。 对 于 更 新 消息 ，DNS 消息 字段 和 对 应 首部 字段 的 解释 和 上 述 的 有 所 不 同 。 在 下 
一 节 描 述 更 新 消息 的 消息 格式 。 

7) 6 ~15 = 未 指派 

(3) AA 〈 权 威 答案 ) 。 当 设置 时 ， 这 条 消息 包含 了 问题 的 一 个 权威 答案 。 这 意 
味 着 响应 是 从 一 台 DNS 服务 器 得 到 的 ， 该 服务 器 配置 有 区 域 的 信息 。 如 果 没 有 设置 
的 话 ， 则 答案 是 从 一 台 非 权威 DNS 服务 器 得 到 的 ， 极 可 能 是 以 前 查询 的 被 缓存 信息 。 
当 提 供 多 个 答案 时 ， 这 个 标志 与 答案 节 中 的 第 一 条 记录 有 关 。 当 在 查询 上 由 客户 端 设 
置 时 ， 这 表明 要 求 得 到 一 个 权威 答案 〈 不 被 缓存 的 ) 。 

(4) TC ( 截 短 的 响应 ) 。 这 个 码 表明 这 条 消息 由 于 传输 的 原因 而 被 截 得。 一般 而 
， 这 是 由 于 UDP 报 文 的 报 文 长 度 限 制导 致 的 ，UDP 是 DNS 使 用 的 默认 传输 层 
协议 。 

(5) RD (期 望 采用 递归 法 ) 。 这 个 标志 指明 ， 查 询 者 将 希望 DNS 服务 器 迭代 地 
解析 查询 ， 必 要 时 遍历 域 树 。 多 数 解 析 器 设置 这 个 标志 ， 指 明 一 个 查询 为 一 个 递归 查 
询 ， 同 时 一 般 来 说 ， 当 查询 其 他 服务 器 时 ,一 台 DNS 服务 器 不 会 设置 这 个 标志 。 

(6) RA (递归 法 是 可 用 的 ) 。 这 个 标志 指明 这 人 台 DNS 服务 器 可 支持 递归 查询 法 。 

(7) 保留 或 Zbit。 保 留 的 (0)。 

(8) AD (可 信 的 数据 )。 在 DNS 安全 扩展 (DNSSEC) 上 下 文 内 使 用 ， 由 一 台 名 
字 服 务 器 设置 这 个 比特 ， 用 来 指明 在 答案 节 和 权威 节 内 的 信息 是 可 信 的 ， 这 意味 着 它 
已 经 过 认证 。 

(9) CD (检查 被 禁止 ) 。 用 于 DNSSEC 上 下 文 内 ， 在 一 台 DNSSEC 名 字 服 务 器 处 
理 这 个 特定 的 查询 过 程 中 ， 这 个 比特 使 一 个 DNSSEC 解析 器 能 够 禁止 签名 验证 。 

(10) 响应 码 (RCODE ) 。 向 客户 端 提供 结果 状态 。 表 9-1 中 汇总 了 当前 定义 的 
响应 码 。 注 意 ， 给 定 4bit 的 RCODE 字段 ， 则 十 进 制 数值 1 ~ 15 就 可 编码 在 DNS 首部 
RCODE 字段 内 。 

DNS 扩展 〈EDNS0 ， 在 本 章 后 面 讨 论 ) OPT (OPTion， 选 项 ) 资源 记录 为 容量 增 
加 了 8 个 附加 的 RCODE 比特 ， 当 与 首部 RCODE 比特 一 起 使 用 时 ， 这 种 做 法 将 总 数 
增加 为 12bit( 达 十 进 制 数值 4095 ) 。 





Ill 
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您 将 注意 到 十 进 制 16 有 两 种 解释 。 当 编码 在 OPT 资源 记录 内 时 ， 解 释 为 BAD- 
VERS， 而 当 编 码 在 一 个 TKEY 或 TSIG 资源 记录 内 时 ， 结 果 解 释 为 BADSIG。 
表 9-1 DNS 消息 响应 码 了 [1%] 


RCODE 
文献 
十 进 制 | 















































1 1 FormErr 格式 错误 一 一 服务 器 不 能 | RFC 10351 
解释 查询 
服务 器 故障 一 一 服务 器 问 
2 2 ServFail C 1035!” 
ENR 题 导致 这 条 查询 不 能 被 处 理 | PC! 
3 3 NXDomain 不 存在 的 域 = 域 种 不 RFC 1035! 
存在 
没有 实现 一 一 这 台 服 务 器 
4 4 NotI C 1035{ 
Sh 不 支持 该 查询 类 型 ha 
查询 被 拒绝 一 一 服务 器 拒 
5 5 Refused ( 拒绝 的 ) 绝 所 请 求 的 查询 ,例如 拒绝 一 | RFC 1035[” 
个 区 域 传递 请 求 
当 在 DNS 更 新 前 提 条 件 处 
6 6 YXDomain 理 过 程 中 确定 时 ,不 应 该 存在 | RFC 213610) 
的 名 字 却 是 存在 的 
当 在 DNS 更 新 前 提 条 件 处 
了 7 YXRRSet 理 过 程 中 确定 时 ,不 应 该 存在 | RFC 213610 
的 RRSet 却 是 存在 的 
当 在 DNS 更 新 前 提 条 件 处 
8 8 NXRRSet 理 过 程 中 确定 时 ,应 该 存在 的 | RFC 2136"! 
RRSet 却 是 不 存在 的 
服务 器 不 是 DNS 更 新 消息 
9 9 NotAuth 的 区 域 节 中 所 列 区 域 的 权威 | RFC 21360] 
服务 器 
在 前 提 条 件 或 一 条 DNS 更 
10 NotZone( 不 是 区 域 ) We RFC 213611) 


没有 被 包含 在 该 消息 区 域 节 


haga pret 





11 ~15 可 用 于 指派 


16 ao BADSIG TSIG 签名 失效 RFC 28451102] 
17 BADKEY 不 可 识别 的 密 钥 ( key) RFC 284510) 


签名 超出 了 有 效 的 服务 器 
12 BADTIM Taga] 
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RCODE 


名 字 





十 进 制 


十 六 进 制 


描述 


( 续 ) 






文献 








19 13 ‘| BADMODE 台 服 务 器 不 支持 所 请 求 的 | RFC 29300% 
模式 
20 14 BADNAME a 不 存在 的 或 重复 的 密 钥 名 RFC 2930! 103 





无 效 的 TKEY 模式 一 一 这 



















BADALG 









BADTRUNC 


不 支持 的 算法 


不 良 的 截 短 操作 一 一 消息 
认证 码 (MAC) 太 短 





RFC 2930 

















104 





RFC 4635 















可 用 于 指派 
为 专用 用 途 保留 








3841 ~4095 | FO1 ~ FFF RFC 5395/1951 











O 如 果 您 查阅 IANA 网 站 (www. iana. org/assignments/dns- parameters) ， 则 您 将 注意 到 4095 以 上 的 数 
值 。 从 技术 角度 而 言 ， 这 些 不 是 RCODE ， 仅 反映 TSIG 和 TKEY 元 资源 记录 类 型 内 的 16bit 错误 字 
段 ， 它 为 这 两 个 资源 记录 类 型 提供 高 达 65535 的 容量 。 


2. 问题 节 

如 您 可 能 猜 到 的 ，DNS 消息 格式 内 的 问题 节 ， 包 含 这 条 查询 要 询问 的 问题 。 该 
节 可 包含 一 个 以 上 的 问题 ， 由 QDCOUNT 首部 字段 中 所 指数 字 标 明 。 每 个 这 样 的 问题 
都 有 如 下 格式 〈 见 图 9-12). 

QNAME 字段 包含 域名 ， 格 式 化 为 一 系列 标签 。QType 字段 指明 查询 类 型 ， 或 问 
这 个 问题 的 目的 是 什么 。 可 包括 任意 资源 记录 类 型 ， 我 们 将 在 下 一 章 详细 讲述 。 但 
是 ， 对 于 请 求 区 域 传递 ， 存 在 一 些 独 特 的 QType 数值 ， 例 如 当前 定义 的 那些 ， 包 括 如 
下 内 容 ( 见 表 9-2)。 

QCLASS 字段 指明 这 个 查询 是 针对 哪 一 类 的 ,例如 因特网 类 的 IN， 它 是 最 常见 的 
类 。 本 质 上 而 言 ， 类 使 平行 名 字 空 间 的 管理 成 为 可 能 。 一 般 而 言 ， 当 前 定义 的 
QCLASS (和 DNS CLASS) 定义 在 表 9-3 中 。 

3. 答案 节 

答案 节 以 资源 记录 的 形式 ， 包含 零 个 或 多 个 答案 。 答 案 的 数量 在 ANCOUNT 首部 
字段 中 确定 。 在 下 一 章 中 ， 我 们 将 讨论 不 同类 型 的 资源 记录 ， 它 们 都 使 用 一 个 通用 的 
格式 ， 如 图 9-13 所 定义 的 。 

名 字 字 段 ， 也 称 作 属 主 名 字 字段 ， 是 对 应 于 这 个 资源 记录 的 查询 名 〈 对 应 于 原 
始 问题 中 的 查询 值 或 QNAME )。 


0 bit 31 


15 16 


ONAME 
可 变 比特 数 


OCLASS 
16 bit 


OTYPE 
16 bit 





图 9-12 ”问题 节 格式 [991 
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表 9-2 DNS QType®!1%! 













































仅 是 QType 查询 目的 QType ID( 十 进 制 ) IETF 状态 定义 该 类 型 的 文档 
* 所 有 资源 记录 255 RFC 1035 
MAILA 邮件 代理 资源 记录 254 试验 型 的 RFC 1035 
MAILB 邮箱 资源 记录 253 过 时 的 RFC 1035 
绝对 区 域 传 递 ( 整 个 4 
AXFR 252 # RFC 1035 
区 域 ) Be 
增 量 区 域 传 递 ( 仅 涉及 ` 
IXFR 251 议 RFC 1995 
发 生 的 变化 ) sie halk 














@ Ads, # 12-1 中 的 RRType 可 用 作 QType。 


类 型 字段 指明 可 为 这 个 名 字 提 供 的 信息 类 型 。 例 如 ， 类 型 A 意味 着 这 个 资源 记 
录 为 给 定名 字 提 供 IPv4 地 址 信息 。 在 下 一 章 中 讲解 资源 记录 类 型 ， 并 汇总 于 表 10-1, 

类 (Class) 字段 表示 名 字 空 间 类 ， 例 如 用 于 因特网 的 IN, K 9-3 给 出 了 有 效 
的 类 。 

TTL 或 存活 时 间 字 段 以 秒 为 单位 ， 给 出 了 资源 记录 有 效 寿 命 的 一 个 时 间 数 值 。 这 
个 消息 的 接收 者 可 将 此 信息 缓存 TTL 秒 ， 并 在 此 时 间 内 可 靠 地 (不 用 担忧 地 ) 使 用 
这 个 信息 。 但 是 ,在 TTL 超期 时 ， 应 该 丢弃 被 缓存 的 信息 ， 并 发 出 一 条 新 的 查询 。 

表 9-3 DNS 类 [0%] 


类 (CLASS) 
一 名 字 描述 参考 文献 
+i 十 六 进 制 









































0 0 保留 保 RFC 5395 
1 1 IN 因特网 RFC 1035 

2 2 未 指派 未 使 用 IANA 
3 3 CH Chaos( 混乱 ) RFC 1035 
4 4 HS Hesiod RFC 1035 

5 ~253 5 ~FD 未 指派 | 未 使 用 IANA 
254 FE NONE 无 RFC 2136 
255 FF * (任意 ) Fae: a 7 RFC 1035 

256 ~65 270 100 ~ FEFF 未 指派 未 使 用 IANA 
65 280 ~ 65 534 FF00 ~FFFE | 为 专用 用 途 保留 = RFC 5395 
65 535 FFFF ”| 保留 保留 RFC 5395 


RDLENGTH 字段 指明 了 结果 (RDATA) 字段 的 长 度 ， 是 以 字 节 为 单位 的 。 对 于 
给 定 属 主 ，RDATA 字段 包含 了 所 识别 类 中 所 确定 类 型 的 相应 信息 。 如 我 们 将 看 到 的 ， 
当 详 细 研 究 多 样 化 的 资源 记录 类 型 时 ，RDATA 字段 有 一 个 变形 的 格式 。 
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0 bit 15 16 31 
名 字 ( 属 主 ) 
变 长 比特 数 


类 型 


16 bit 16 bit 


RD 长 度 
16 bit RDATA 


变 长 比特 数 





图 9-13 答案 节 格 式 [99] 


4. 权威 节 

权威 节 包含 了 NSCOUNT 数量 的 答案 ， 和 在 答案 节 中 讨论 的 一 样 ， 它 使 用 相同 格 
式 的 资源 记录 。 一 般 来 说 ， 在 权威 节 内 ， 仅 有 NS (名字 服务 器 ) 资源 记录 是 有 效 的 ， 
虽然 当 被 查询 的 名 字 服 务 器 是 权威 的 ， 但 答案 节 为 空 时 ， 多 数 名 字 服 务 器 在 该 节 中 返 
回 一 个 SOA (Start of Authority， 起 始 授权 机 构 ) 记录 。 本 节 也 包含 有 关 其 他 名 字 服 务 
器 的 信息 ， 这 些 服务 器 是 被 查询 信息 的 权威 服务 器 。 这 个 信息 由 查询 解析 器 使 用 ， 或 
更 可 能 被 递归 名 字 服 务 器 所 用 ， 以 便 在 寻找 最 终 答 案 而 遍历 域 树 时 ， 确 定 要 查询 的 下 
一 台 名 字 服 务 器 。 

5. 附加 节 

附加 节 以 资源 记录 的 形式 ， 包 含 ASCOUNT 数量 的 答案 ， 它 提供 查询 的 附加 的 或 
有 关 的 信息 ， 与 答案 节 中 讨论 的 格式 相同 。 


9.5.5 DNS 更 新 消息 


更 新 消息 使 一 台 客 户 端 、DHCP 服务 器 或 其 他 源 能 够 在 一 个 区 域内 实施 一 个 或 多 
个 资源 记录 的 一 条 更 新 〈 增 加 、 修 改 或 删除 ) 。 虽 然 更 新 消息 利用 刚 描述 过 的 DNS 消 
息 的 相同 基本 格式 ， 但 一 些 字 段 的 解释 是 不 同 的 。 更 新 消息 ， 在 DNS 消息 首部 中 以 
操作 码 =5 表示 ， 其 编码 如 下 〈 见 图 9-14) 。 

将 这 个 格式 与 图 9-10 所 示 的 非 更 新 DNS 消息 比较 。 消 息 首部 与 “正常 ”DNS 消 
息 的 格式 相同 ， 但 其 他 各 节 的 解释 不 同 。 


消息 首部 (opcode=5) 
96 bit 





前 提 条 件 
变 长 


更 新 
变 长 


附加 数据 
变 长 


图 9-14 DNS 更 新 消息 格式 0091 
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区 域 节 识别 由 这 条 更 新 消息 更 新 的 DNS 区 域 。 前 提 条 件 节 使 得 必须 被 满足 的 条 
件 确定 成 为 可 能 ， 目 的 是 成 功 地 实施 更 新 。 条 件 和 条 件 类 型 是 由 前 提 条 件 节 内 每 个 资 
源 记 录 编 码 参数 的 数值 确定 的 。 下 表 定 义 DNS 更 新 前 提 条 件 是 如 何 解释 的 ， 它 的 依 
据 是 前 提 条 件 节 内 属 主 、 类 、 类 型 和 RData 字段 的 数值 。 







前 提 条 件 解释 
要 匹配 的 属 主 名 字 在 这 个 区 域 中 已 被 使 用 


具有 匹配 属 主 和 类 型 的 一 条 RRSet 是 存在 的 
(数值 无 关 的 , 即 任意 RData 都 匹配 ) 


要 匹配 的 属 主 名 字 在 这 个 区 域 中 没 被 使 用 
带 有 要 匹配 属 主 和 类 型 的 一 条 RRSet 在 这 个 区 
域 中 不 存在 


带 有 要 匹配 属 主 、 类 型 和 RData 的 一 条 RRSet 
存在 于 这 个 区 域 中 (数值 相关 的 , 即 RData 匹配 ) 











匹配 ANY[255] 








匹配 ANY1255] 








NONE!*41 

















NONE!?54] 


更 新 节 包 含 要 添加 到 区 域 或 从 区 域 删除 的 资源 记录 ,使 用 的 是 如 下 前 提 条 件 节 所 
用 的 一 种 类 似 编码 。 


与 区 域 类 相同 


匹配 















将 确定 的 属 主 、 类 型 和 RData 的 这 条 资源 


Mee 记录 (可 能 是 多 条 记录 ) 添 加 到 区 域 的 RRSet 


RR RData 








RR 类 型 | s 将 确定 属 主 和 类 型 的 资源 记录 删除 
属 主 删除 ANY255] ANY as 将 确定 属 主 名 的 所 有 资源 记录 删除 








从 区 域 中 删除 确定 属 主 、 类 型 和 RData 的 


NONE?] 
资源 记录 (可 能 有 多 条 记录 ) 


属 主 删 除 RR 类 型 RR RData 








附加 数据 节 包 含 与 这 条 更 新 有 关 的 资源 记录 ， 例 如 区 域外 黏 结 (out of zone glue) 
记录 。 
考虑 带 有 前 提 条 件 和 以 如 下 编码 的 更 新 字段 ， 接 收 一 条 更 新 消息 的 例子 如 下 。 







RData 














host. ipamworldwide. com 
host. ipamworldwide. com 


更 新 节 的 内 容 将 仅 当 满足 前 提 条 件 时 才 被 考虑 。 在 这 种 情形 中 ， 前 提 条 件 是 
host. ipamworldwide. com. IN DHCID H8349a +) 3jELeA = = 了 ES1 记录 存在 于 区 域 中 ， 即 
前 提 条 件 类 型 RRSet 带 有 匹配 属 主 、 类 型 和 RData (数值 依赖 ) 。 如 果 确 实 存 在 ， 那 
么 来 自 更 新 节 的 host. ipamworldwide. com. IN A 10. 0. 0. 200 资源 记录 将 被 添加 到 区 域 之 
中 。 如 果 不 存在 ， 则 不 执行 更 新 。 

这 个 特定 的 例子 形象 地 说 明了 ISC DHCP 服务 器 ， 在 指派 一 个 全 地址 (在 此 情形 
中 是 向 host. ipamworldwide. com. 指派 10. 0. 0.200) 时 ， 如 何 实施 DNS 数据 的 动态 更 
新 。DHCID 记录 提供 了 接收 全 地址 的 主机 硬件 地 址 的 一 个 散 列 值 ， 以 此 唯一 地 识别 


H8349a + )3jELeA = =ES1 


10. 0. 0. 200 
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该 主机 。 更 新 该 地 址 记录 的 前 提 和 条件， 提供 了 确保 仅 有 这 条 A 记录 的 原始 持 有 者 才 
能 修改 它 的 一 种 方法 ， 这 就 使 命名 重复 或 劫持 风险 最 小 化 。 


9.5.6 DNS 扩展 (EDNSO) 


迄今 为 止 ， 在 我 们 讨论 DNS 消息 首部 时 ， 人 们 会 观察 到 所 有 代码 比特 都 被 指派 
但 仅 有 一 个 代码 比特 ， 且 是 附加 的 响应 代码 指派 在 必要 时 才 需 要 。 另 外 ， 相 比 于 原始 
确定 的 尺寸 限制 512B, 许多 主机 可 处 理 较 大 型 的 多 部 分 (multi-part) 组 成 的 UDP 报 
文 。 作 为 这 些 限制 的 一 个 结果 ， 以 及 期 望 添加 附加 的 域名 标签 类 型 ， 在 RFC 26710" 
中 定义 了 DNS 扩展 。 

RFC 2671 定义 了 DNS 扩展 机 制 的 版 本 0， 表示 为 EDNS0。 通 过 定义 如 下 扩展 ， 
该 RFC 解决 了 上 述 约束 。 








图 9-15 EDNSO 格式 [011 


1) 为 表示 DNS 扩展 ， 定 义 了 一 个 新 的 域 标签 类 型 。 正 如 我 们 讨论 过 的 ， 域 标签 
的 前 2bit 唯一 地 将 该 标签 识别 为 一 个 长 度 字 节 (前 2bit = [00],) 或 一 个 指针 (前 
2bit=[11],) 。 扩 展 标签 类 型 被 指派 [01], 作为 它 的 前 2bit。 

2) EDNS0 定义 了 一 个 伪 资 源 记 录 ， 即 OPT 记录 (Bl RRType = OPT) 。 解 析 器 或 
服务 器 将 OPT 记录 放置 在 附加 节 中 ， 目 的 是 通告 其 相应 的 能 力 。OPT 资源 记录 被 用 
来 将 发 送 者 (客户 端 或 服务 器 ) 的 能 力 通告 给 接收 者 ， 且 仅 应 该 存在 一 个 OPT 记录 。 

OPT 伪 资 源 记 录 按 如 下 编码 ( 见 图 9-15) ， 这 使 确定 发 送 者 的 UDP 报 文 尺寸 和 
附加 的 响应 代码 比特 成 为 可 能 。 

OPT 记录 永远 不 应 出 现在 一 个 区 域 文 件 中 。 因 此 ， 和 其 他 资源 记录 一 样 ， 当 OPT 
伪 资 源 记录 利用 相同 的 传输 (wire) 格式 时 ， 则 标准 字段 的 定义 就 已 作 修 改 ， 以 便 仅 
提供 扩展 信息 。 对 于 OPT 记录 ，NAME FRI, TYPE X OPT, CLASS 字段 指明 发 
送 者 UDP 净 荷 的 最 大 尺寸 。32bit 的 TTL 字段 被 分 成 如 下 三 个 字段 。 

1) 扩展 的 响应 码 。 将 8bit 添加 到 DNS 消息 首部 的 4bit RCODE， 提 供 了 总 共 
12bit 的 字段 。 

2) EDNS 版 本 号 。 

3) 扩展 的 首部 标志 。bit0 当前 被 定义 为 “DNSSEC 答案 正常 ”， 这 意味 着 查询 服 
务 器 能 够 处 理 DNSSEC 资源 记录 。 扩 展 首部 的 其 他 15bit 当前 是 保留 的 。 

RDLength 字段 指明 RData 字段 的 长 度 ， 它 由 零 个 或 多 个 选项 组 成 ， 每 个 选项 编 
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码 为 一 个 选项 码 、 选 项 长 度 和 选项 值 。 

迄今 为 止 ， 一 个 选项 是 通过 RFC 5001 进行 官方 定义 的 : 名 字 服 务 器 识别 符 
(NSID) 选项 。 由 选项 码 =3 定义 的 这 个 选项 ， 使 一 个 解析 器 可 发 出 请 求 ， 使 一 台 服 
务 器 提供 它 的 身份 ， 依 据 服 务 器 管理 员 定义 的 ， 即 将 其 名 字 、IP 地 址 、 伪 随机 数 或 
其 他 字符 串 (在 BIND 中 是 使 用 server-id 语句 ， 可 进行 配置 的 ) 定义 为 其 身份 。 对 于 
在 如 下 环境 中 排 错 ， 这 个 EDNSO 选项 是 有 用 的 ， 其 中 许多 台 服 务 器 共享 同一 个 全 地 
址 ， 例 如 在 部 署 任意 播 寻 址 的 情况 或 采用 负载 均衡 器 的 情况 。 另 外 两 个 选项 ， 长 时 间 
存活 的 查询 9 (LLQ; 选项 码 =1) 和 更 新 租赁 寿命 ” (UL; 选项 码 =2) 目前 作为 
RFC， 还 处 于 停 用 状态 ， 就 这 些 设置 ， 还 没有 官方 信息 发 布 。 


9.5.7 资源 记录 


本 章 讲解 了 DNS 数据 的 组 织 结构 、 域 树 的 遍历 以 及 实施 遍历 的 消息 格式 。 一 旦 
我 们 导航 查阅 域 树 ， 并 定位 了 一 个 域 的 信息 的 一 台 权威 DNS 服务 器 ， 我 们 如 何 实际 
得 到 查询 信息 (该 信息 是 我 们 为 一 个 特定 目的 或 应 用 ， 正 在 寻找 的 信息 ) 呢 ? 

与 给 定 域 关联 的 资源 记录 ， 提 供 了 将 问题 映射 到 一 个 答案 的 方法 。 资 源 记 录 类 型 
定义 期 望 的 结果 类 型 ， 例 如 A 资源 记录 类 型 将 提供 一 个 IPv4 地 址 作为 答案 ， 而 
AAAA 类 型 将 提供 一 个 IPv6 地 址 。 答 案 可 以 是 “最 终 答案 ”或 可 通过 另外 的 查询 或 
其 他 方法 得 到 期 望 答案 所 使 用 的 信息 。 


O 一 个 长 时 间 存 活 的 查询 是 这 样 一 种 机 制 ， 一 个 解析 器 请 求 接收 区 域 信息 变化 的 通知 ; 有 些 像 用 于 
客户 端的 一 条 DNSNOTIFY 。 

O 更 新 租赁 寿命 机 制 ,， 使 一 台 DHCP 服务 器 能 够 在 一 条 DNS 更 新 消息 内 ， 针 对 新 的 和 刷新 的 租赁 ， 
将 以 秒 为 单位 的 对 应 客户 端的 租赁 时 间 长 度 通知 该 DNS 服务 器 。 


第 10 章 DNS 应 用 和 资源 记录 


本 质 上 来 说 ，DNS 是 将 一 个 给 定 的 信息 片 “ 翻 译 ” 为 另 一 个 相关 的 信息 片 。 这 
个 解析 过 程 恰 是 DNS 发 明 的 原因 ， 并 已 经 被 扩展 ， 远 远 超 出 将 主机 名 解析 为 IP 地 址 
这 单项 功能 ， 反 过 来 支持 较 宽 种 类 的 应 用 。 几 乎 可 以 这 样 说 ， 要 求 将 一 种 形式 的 信息 
翻译 为 另 一 种 形式 信息 的 任意 服务 或 应 用 ， 均 可 利用 DNS, 

在 DNS 中 配置 的 每 条 资源 记录 使 这 项 查找 功能 成 为 可 能 ， 它 返回 一 条 给 定 查询 
的 一 个 解析 答案 。DNS 服务 器 分 析 DNS 消息 “问题 节 的 查询 ， 针 对 该 查询 的 QNAME、 
QCLASS 和 QTYPE， 在 相应 域 的 区 域 文 件 内 寻找 一 条 匹配 。 每 条 资源 记录 有 一 个 名 字 
(HRE) 字段 、 类 (如果 没有 指明 ， 则 假定 为 因特网 类 ) 和 类 型 字段 。RData 字段 
包含 查询 的 相应 答案 。 资 源 记 录 类 型 定义 了 间 题 的 类 型 和 格式 ( 属 主 / 名 字 字 段 ) 和 
对 应 答案 (RData 字段 )。 在 一 些 实例 中 ， 多 个 资源 记录 可 匹配 被 查询 的 名 字 、 类 型 
和 类 。 在 这 些 情形 中 ， 称 为 一 个 资源 记录 集合 (RRSet) 的 所 有 匹配 记录 ,在 响应 消 
息 的 管 案 节 中 返回 。 

多 数 新 应 用 (但 不 是 所 有 的 ) 都 要 求 新 的 资源 记录 类 型 ， 以 便 定义 应 用 特定 的 
信息 ， 这 些 新 的 资源 记录 类 型 是 通过 ETF RFC 过 程 来 标准 化 的 。 本 章 描述 了 DNS 中 
存储 的 各 种 形式 的 信息 以 及 它们 所 支持 的 应 用 。 在 本 章 末 尾 ， 提 供 一 个 资源 记录 汇 
总 ， 以 便 参考 。 


10.1.1 资源 记录 格式 


首先 让 我 们 回顾 一 下 一 条 资源 记录 的 格式 。 当 对 查找 信息 的 一 条 查询 做 出 响应 
时 ， 一 台 DNS 服务 器 将 资源 记录 信息 放置 在 一 条 DNS 消息 的 答案 节 之 中 。 由 DNS 协 
议 规定 的 “传输 (on-the-wire) 格式 ”， 在 DNS 消息 答案 节 的 格式 上 下 文中 的 图 9-13 
做 了 介绍 ， 出 于 方便 ， 在 图 10-1 中 重新 给 出 。 

当 在 区 域 文件 中 表示 资源 记录 时 ， 所 有 这 些 字段 (除了 RDLength 字段 外 ) 都 被 
输入 ， 当 将 资源 记录 信息 放置 在 一 条 DNS 消息 中 时 ，DNS 服务 器 将 RDLength 字段 插 

一 般 而 言 ， 一 条 资源 记录 的 文本 表示 遵循 如 下 所 示 的 一 种 通用 惯例 。 多 数 资源 记 
录 采 用 如 下 通用 字段 加 以 定义 ， 虽然 许 多 字段 在 RData 字段 内 都 有 子 字段 ， 我 们 将 在 
本 章 后 面 看 到 具体 情形 。 


i is a E 


见 图 9-12。 
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1) 属 主 〈 名 字 )。 这 个 字段 匹配 正 被 查询 的 信息 。 

2) 存活 时 间 (TTL) 。 对 于 缓存 这 个 信息 的 服务 器 和 解析 器 而 言 ， 在 这 条 资源 记 
录 内 包含 该 信息 的 有 效 秒 数 。 在 TTL 超期 之 后 ， 资 源 记录 信息 必须 从 名 字 服 务 器 和 
解析 器 缓存 中 被 清除 。 可 在 每 条 资源 记录 基础 上 ， 指 派 确定 TTL， 或 在 被 略 去 的 情况 
下 ， 使 用 一 个 区 域 层 次 默认 的 TTL 值 ($ TTL). 


0 bit 15 16 31 





图 10-1 DNS 资源 记录 传输 格式 [99] 
3) 类 。 资 源 记 录 的 类 ， 对 于 因特网 而 言 ， 通 常 是 IN。 
4) 类 型 。 对 应 于 正 被 查找 信息 的 类 型 的 资源 记录 的 类 型 。 
5) RData。 通 过 匹配 属 主 〈 名 字 ) 、 类 和 类 型 字段 内 容 ， 得 到 的 对 应 于 正 被 查找 
信息 的 “记录 数据 ”或 答案 部 分 。 
既然 我 们 已 经 讲解 了 基本 格式 ， 则 就 准备 好 跳 到 支持 它们 的 特定 应 用 和 资源 记 
录 。 当 我 们 回顾 这 些 资源 记录 类 型 时 ， 将 回顾 每 个 类 型 的 解释 ， 并 给 出 一 个 例子 。 我 
们 将 讲解 已 经 被 IETF“ 官方” 接受 的 那些 资源 记录 类 型 ， 即 它们 已 经 以 一 个 RFC 的 
形式 发 布 ; 但 是 ， 发 布 为 一 个 RFC， 并 不 保证 在 所 有 解析 器 和 服务 器 间 对 该 资源 记录 
类 型 的 统一 实现 。 我 们 将 指出 ， 其 中 一 些 资源 记录 类 型 可 能 是 新 的 或 试验 型 的 ， 而 另 
一 些 则 早已 存在 了 数 年 时 间 。 
对 于 我 们 将 在 本 章 讨论 的 每 个 记录 类 型 ， 使 用 一 种 通用 格式 ， 显 示 资 源 记 录 字 段 
和 范例 。 对 于 每 个 记录 类 型 ， 第 一 行 或 表 头 ， 都 指派 规范 了 如 上 定义 的 基本 字段 。 第 
二 行 显示 存在 疑问 的 特定 类 型 的 这 些 基 本 字段 的 解释 。 给 定 类 型 的 一 个 范例 资源 记录 
显示 在 第 三 行 ， 可 选 的 后 续 行 汇总 如 下 。 
资源 记录 字段 
资源 记录 字段 数据 类 型 
样 例 资 源 记 录 ( 可 能 有 多 项 ) 


注意 ,术语 “域名 ”是 指 一 个 DNS 域 的 名 字 ， 术 语 “ 主 机 域名 ”是 指 一 台 主 机 
的 DNS 名 字 。 主 机 域名 可 采用 区 域 文件 定义 ， 定 义 为 完全 合格 的 (FQDN) 或 简单 的 
一 个 主机 名 (在 “当前 域 ” 的 上 下 文中 进行 解释 ) 。 当 前 域 是 在 named. conf 文件 的 区 
域 声明 中 定义 的 ， 除 非 在 区 域 文件 中 使 用 一 条 $ ORIGIN 语句 做 出 变更 。 
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10.2 ” 名字- 地址 查询 应 用 


10.2.1 主机 名 和 IP 地址 解析 


首先 ， 最 常见 的 DNS 应 用 是 主机 名 解析 ， 即 查找 一 个 主机 域名 并 得 到 其 对 应 的 
IP 地 址 。 支 持 两 个 资源 记录 类 型 ， 用 于 IP 地 址 查询 ， 一 个 资源 记录 类 型 用 于 IPv4 地 
址 ， 另 一 个 用 于 IPv6 地 址 。 相 应 的 反 向 记录 利用 IPv4 和 IPv6 的 一 个 通用 记录 类 型 ， 
即 指针 (PTR) 记录 类 型 。 

当 管 理 一 个 混合 的 IPv4-IPv6 网 络 时 ， 注 意 DNS 将 强烈 地 影响 使 用 哪个 协议 到 达 
一 台 给 定 的 目的 主机 。 例 如 ， 如 果 我 希望 访问 一 个 网 站 ， 我 的 解析 器 首先 检索 给 定 网 
站 地 址 的 一 条 A 记录 。 在 不 能 得 到 一 个 IPv4 地 址 时 ， 之 后 它 会 尝试 一 次 AAAA 记录 
查找 ， 这 次 会 成 功 。 假 定 我 的 浏览 器 (TCP/IP $R) 支持 IPv6， 那 么 连接 将 在 IPv6 上 
进行 。 不 知道 的 是 ， 我 正在 使 用 IPv6。 某 些 IPv4-IPv6 迁移 技术 明显 地 强制 DNS 中 的 
双 协 议 查找 (A 和 AAAA) 。 我 们 将 在 第 15 章 讲解 这 些 技术 和 DNS 对 IPv4-IPv6 网 络 
的 整体 影响 。 

(1) A-IPv4 地 址 记录 。A 记录 是 一 个 通用 的 资源 记录 类 型 ， 用 来 将 一 个 被 查询 
的 主机 域名 映射 到 一 个 IPv4 地 址 。 其 格式 遵循 如 下 例子 中 的 标准 惯例 。 各 主机 可 能 
有 多 个 A 记录 ， 这 可 提供 一 个 主机 名 到 多 个 设备 和 /或 接口 的 负载 均衡 或 映射 。 
属 主 
主机 域名 


www. ipamworldwide. com. 






RData 
IPv4 地 址 
10. 100. 0. 99 















(2) AAAA-IPv6 地 址 记录 。 基 于 一 个 主机 域名 的 查找 ，AAAA (“WAA”) 记 
录 提 供 一 个 IPv6 地 址 。 以 类 似 于 A 记录 针对 主机 名 到 IPv4 地 址 查询 的 方式 ， 进 行 格 
式 化 和 处 理 ，RData 字段 包括 一 个 IPv6 地 址 ，IPv6 地 址 可 使 用 标准 的 IPv6 缩 略 惯例 
进行 缩 略 表示 o 






属 主 
主机 域名 












www. ipamworldwide. com. 


指针 记录 。PTR 资源 记录 提供 从 一 个 IP 地 址 到 一 个 FQDN 的 映射 。 


(3) PTR 
PTR 记录 用 来 映射 IPv4 和 IPv6 地 址 。PTR 的 IPv4 版 本 包括 反 向 的 卫 地 址 并 串 接 
“in-addr. arpa. ”作为 属 主 字 段 ， 还 包括 对 应 的 FQDN 作为 RData 字段 。IPv6 版 本 是 
如 下 形成 的 ， 以 其 十 六 进 制 冒号 格式 写 出 IPv6 地 址 ， 包 括 所 有 的 零 ， 即 填充 前 导 零 
和 双 冒 号 简捷 写法 。 之 后 丢掉 冒号 ， 将 数字 反 向 ， 之 后 串 接 “ip6. arpa”. 

在 这 个 例子 中 的 IPv4 地 址 对 应 10. 65.32.1， 而 IPv6 地 址 是 2001: 0DB8 : 0000: 
0000: 0000: 0000: 0000; 1001， 或 为 缩 略 形式 的 2001: DB8:: 1001, 
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以 反 向 域 格式 表示 的 IP 地 址 
1. 32. 65. 10. in-addr. arpa. 








sfl. ipamworldwide. com. 





1. 0. 0. 1. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0- 
. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 8. B. 
D. 0. 1. 0. 0. 2. ip6. arpa. 


sfl. ipamworldwide. com. 








10.2.2 别名 主机 和 域名 解析 


CNAME 资源 记录 类 型 支持 依据 别名 的 一 台 主 机 域名 的 查找 。CNAME 查找 返回 的 
不 是 一 个 了 下 地 址 ， 而 是 一 台 主 机 的 域名 ， 之 后 必须 查询 它 的 IP 地 址 ， 但 多 数 DNS 服 
务 器 对 一 条 CNAME 的 查询 响应 ， 将 在 DNS 响应 消息 的 附加 节 内 包括 对 应 的 A 和 /或 
AAAA 记录 。 同 时 ，DNAME 记录 提供 查找 域 的 一 个 类 似 别 名 功能 。 正 如 在 前 一 章 所 
讨论 的 ，CNAME 和 DNAME 记录 在 处 理 非 字 节 边界 的 反 向 域 中 是 有 用 的 。 

(1) CNAME 一 一 规范 的 名 字 记 录 。CNAME 记录 使 主机 别名 的 产生 是 可 能 的 。 属 
主 字段 包含 要 被 查找 的 别名 ，RData 字段 产生 规范 的 主机 域名 。 之 后 ， 将 需要 解析 这 
个 主机 域名 ， 从 而 得 到 主机 对 应 的 A 和 /或 AAAA 记录 。 










产生 主机 域名 别名 


W3. ipamww. com. 





规范 的 主机 域名 


www. ipamww. com. 











注意 ， 为 了 将 记录 链接 起 来 ， 配 置 一 个 CNAME RData 字段 指向 另 一 个 CNAME 
属 主 字段 是 不 合法 的 。 这 个 RData 字段 必须 直接 指向 一 个 A/AAAA 资源 记录 属 主 名 。 
每 个 CNAME 记录 的 属 主 名 也 必须 是 唯一 的 ; 单一 别名 不 能 解析 为 多 个 答案 。 如 我 们 
在 第 9 章 讨 论 的 映射 反 向 域名 ， 对 于 这 项 功能 ，CNAME 记录 证 明 是 有 作用 的 。 

(2) DNAME 一 一 域 别名 记录 。 在 RFC 2672" 中 定义 的 DNAME 资源 记录 ， 支 持 
将 域名 空间 的 整个 子 树 映射 到 另 一 个 域 。 开 发 DNAME 记录 的 主要 动力 是 ,简化 人 P 
网 络 重新 编 址 对 DNS 的 有 影响。 例如， 如果 运行 ipamww. com 域 的 公司 被 acquired. com 
收购 ， 则 ipamww. com 名 字 空 间 可 想象 地 被 “移动 ”到 acquired. com è F, JAER 
加 一 个 DNAME 记录 ， 如 下 所 示 。 













域名 别名 


ipamww. com. 


目标 域名 


ipamww. acquired. com. 














在 ipamww. com 域 树 内 查找 主机 的 解析 器 ， 将 被 定向 到 ipamww. acquired. com 域 之 
下 查找 相同 主机 名 。 注 意 ， 这 个 场景 要 求 ipamww. com 的 资源 记录 和 子 域 要 移植 
(ported to) 到 acquired. com 域 树 内 其 对 应 的 区 域 文件 。RFC 2672 规定 ，DNAME 属 主 
(在 这 个 情形 中 是 ipamww. com. ) 区 域 一 定 不 能 有 任何 子 域 ,， 也 不 能 包含 除 DNAME 
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和 可 能 CNAME 资源 记录 之 外 的 任何 资源 记录 。 
10.2.3 网 络 服务 定位 


在 一 个 网 络 上 启动 的 卫 设 备 ， 经 常 需要 寻找 特定 的 服务 来 进行 设备 初始 化 。DH- 
CP 通过 指派 某 些 选 项 值 (例如 TFTP 服务 器 IP 地 址 ) 的 方法 ， 提 供 了 某 个 层次 的 服 
务 定位 ， 同 时 DNS 使 用 服务 定位 资源 记录 类 型 (SRV) 提供 了 一 种 服务 定位 机 制 。 
SRV 记录 是 一 种 非 DHCP 客户 端 或 初始 化 后 查找 服务 的 客户 端 定位 提供 所 请 求 服 务 的 
服务 器 的 方法 。 

如 果 自 Windows 2000 出 现 以 来 ， 您 都 一 直 使 用 微软 客户 端 和 域 控制 器 的 话 ， 那 
您 可 能 非常 熟悉 SRV 记录 了 。 当 Windows 域 控制 器 启动 时 ， 它 为 其 A 记录 和 SRV ic 
录 实 施 一 次 动态 DNS (DDNS) 更 新 ， 使 它们 可 有 效 地 公告 服务 的 可 用 性 。 通 过 在 属 
主 字段 内 使 用 下 划 线 ， 也 可 容易 地 识别 这 些 记 录 。 对 于 一 个 给 定 域 ，SRYV 记录 属 主 
是 通过 串 接 一 项 特定 服务 组 成 的 ， 可 通过 一 个 特定 协议 (TCP 或 UDP) 使 用 这 些 服 
务 。 为 了 消除 与 有 效 域名 的 冲突 ， 加 入 了 下 划 线 。 虽 然 从 技术 角度 来 说 ， 依 据 DNS 
RFC 1035， 下 划 线 不 是 一 个 有 效 的 主机 域名 字符 ， 但 通过 检查 名 字 选 项 参数 可 配置 微 
软 服 务 器 和 BIND 服务 器 ， 使 其 容忍 下 划 线 字符 。 虽 然 使 用 SRV 记录 是 一 个 常见 例 
F, SRV 记录 当然 不 限于 Windows 应 用 ， 但 迄今 为 止 在 Windows 应 用 之 外 采用 这 种 方 
法 的 做 法 还 是 有 限 的 。 

(1) SRV 一 一 服务 定位 记录 。 使 用 SRV 记录 的 做 法 ， 使 解析 器 客户 端 识别 提供 
特定 服务 的 服务 器 成 为 可 能 ， 这 些 服务 如 LDAP, Kerberos 以 及 其 他 服务 。 在 微软 
Windows 客户 端 定位 Windows 域 控制 器 的 过 程 中 ， 这 个 记录 是 至 关 重 要 的 。 







优先 级 ”权重 端口 目标 主机 域名 
10 0 389 ldap. ipamww. com. 


服务 编码 


_Idap. _tcp. ipamww. com. 


















属 主 字段 由 一 个 给 定 域 的 特定 服务 串 接 组 成 ， 可 通过 一 个 特定 协议 (TCP 或 
UDP) 使 用 这 项 服务 。RData 字段 包括 一 个 优先 级 字段 ， 当 返回 多 个 SRV 记录 时 ， 该 
字段 指令 客户 端 使 用 具有 数值 较 低 优先 级 的 目标 (SRV 记录 ) 。 

使 用 权重 字段 来 进一步 将 有 相同 优先 级 的 记录 作出 优先 区 分 。 端 口 是 TCP 或 
UDP 端口 号 ， 用 来 访问 给 定 服务 ; 访问 目标 (target) 是 运行 具体 服务 之 服务 器 的 主 
机 域名 。 

如 果 DNS 服务 器 也 不 作为 附加 信息 返回 ， 则 客户 端 可 请 求 主 机 相应 的 A 或 
AAAA 记录 ， 将 主机 指派 为 目标 ， 目 的 是 完成 解析 过 程 。 一 些 例子 如 下 : 

_ ldap. _ tcp. ipamww. com. 86400 IN SRV 10 5 389 ldapeastl. ipamww. com. 

_ ldap. _ tcp. ipamww. com. 86400 IN SRV 10 10 389 Idapeast2. ipamww. com. 

_ ldap. _ tcp. ipamww. com. 86400 IN SRV 20 1 389 Idapeast3. ipamww. com. 

在 上 述 三 个 样 例 SRV 记录 中 ， 将 首先 使 用 第 二 条 记录 。 它 与 第 一 条 记录 具有 相 
同 的 最 低 优 先 级 数字 (10) ， 但 它 的 优先 级 字段 (10) 比 第 一 条 记录 (5) 高 , 第 三 
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条 记录 将 最 后 被 使 用 ， 原 因 是 它 虽 然 有 低 的 权重 ， 但 却 有 较 大 的 优先 级 数值 。 

在 上 述 例子 中 的 端口 号 389 是 给 定 服务 的 TCP 或 UDP 端口 号 ， 目 标 (target) 是 
运行 所 指派 服务 的 服务 器 的 主机 名 。 如 果 也 不 作为 从 DNS 服务 器 发 出 消息 的 附加 节 
返回 ， 则 客户 端 要 请 求 主 机 相应 的 A 或 AAAA 记录 ， 将 主机 指派 为 对 应 的 目标 ， 目 
的 是 完成 解析 过 程 。 从 语义 角度 而 言 ， 不 需要 在 后 两 条 记录 中 列 出 属 主 字段 (假定 
它们 是 在 区 域 文件 内 按 顺序 列 出 的 ) ， 但 我 们 却 列 出 了 属 主 字 段 ， 目 的 是 强调 针对 一 
条 _ ldap. _ tcp. ipamworldwide. com 的 SRV 查询 ， 会 返回 这 三 条 记录 。 

(2) AFSDB——DCE 或 AFS 服务 器 记录 (试验 型 的 ) 。 在 RFC 1183"” 中 定义 了 
AFSDB 记录 ， 其 目的 是 支持 一 台 服务 器 的 定位 ， 特 别 是 AFS (这 是 Transarc 公司 的 一 
个 注册 商标 ， 最 初 是 Andrew File System (安德鲁 文件 系统 ) 的 缩写 ) 和 开放 软件 基 
金 会 的 分 布 式 计算 环境 (DCE) 的 服务 定位 。 





FRE 主机 域名 





afsdb1. ipamworldwide. com. 


RData 字段 组 成 如 下 。 

1) 子 类 型 字段 ， 它 识别 单元 域名 ( 子 类 型 =1) 的 AFS 3.0 卷 位 置 服务 器 或 给 
定单 元 域名 的 DCE 目录 服务 的 服务 器 ( 子 类 型 =2) 。 

2) 主机 域名 字段 识别 服务 器 主机 名 。 

AFSDB 资源 记录 没有 被 广泛 使 用 ， 原 因 是 该 SRV 资源 记录 类 型 在 DNS 内 提供 通 
用 的 服务 器 定位 功能 ， 事 实 上 ，RFC 58645 ”规范 了 用 于 AFS 的 SRV 记录 使 用 情况 。 

(3) WKS 一 一 周知 的 服务 记录 (历史 型 的 ) 。 这 个 资源 记录 类 型 识别 周知 的 服 





务 ， 例 如 FIP. telnet 以 及 其 他 服务 ， 它 们 是 在 一 个 特定 IP 地 址 上 可 用 的 ， 为 一 台 主 
机 使 用 一 个 特定 的 协议 (TCP 或 UDP) 。 这 个 记录 没有 被 普遍 使 用 ， 原 因 是 SRV 记录 
提供 了 类 型 的 功能 。 







属 主 





主机 域名 IPv4 地 址 协议 服务 












server. ipamww. com. 


10.0. 199.35 TCP SMTP FTP 


10.2.4 主机 和 文本 信息 查找 


TXT 记录 是 承载 (workhorse) 资源 记录 类 型 之 一 ， 经 常用 作 一 个 中 间 (interim) 
资源 记录 ， 支 持 特定 应 用 正在 (pending) 标准 化 的 过 程 和 实现 。TXT 记录 支持 一 个 
通用 索引 名 的 查找 ， 例 如 一 个 域名 、 主 机 域名 或 其 他 属 主 值 ， 并 返回 任意 的 文本 信 
息 。 最 近 ，TXT 记录 已 用 作 DDNS 更 新 唯一 性 检查 (现在 是 DHCID 记录 类 型 ) AM 
低 垃圾 邮件 的 应 用 (SPF 记录 类 型 ) 的 中 间 阶 段 支持 ， 这 两 者 在 本 章 后 面 讲解 。 

(1) TXT 一 一 文本 记录 。 文 本 记录 支持 将 多 达 255B 的 任意 二 进 制 数据 与 一 个 资 
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源 记录 的 关联 。 在 提供 新 服务 的 中 间 阶 段 支持 方面 ， 它 已 被 证 明 是 有 多 种 功能 的 


(very versatile ) 。 







RData 
任意 文本 数据 
“CFO Office(610)555-1212” 








(2) HINF0 一 一 主机 信息 记录 。HINFO 资源 记录 的 RData 字段 支持 对 一 台 主 机 的 
处 理 器 和 操作 系统 的 查找 。 






RData 
CPU 操作 系统 
VAX 770/11 UNIX 





主机 域名 


sfl. ipamww. com. 









(3) HIP 一 一 主机 身份 协议 记录 (试验 型 的 )。HIP 资源 记录 类 型 ,支持 试验 型 
的 主机 身份 协议 (HIP) ， 它 本 质 上 是 将 一 个 主机 名 与 一 个 IP 地 址 的 关联 进行 了 抽 
象 ， 方 法 是 在 解析 过 程 中 插入 了 一 个 “主机 身份 ” 层 。 这 使 一 个 域名 与 一 个 主机 身 
份 的 关联 成 为 可 能 ， 之 后 主机 身份 与 一 个 或 多 个 P 地 址 关联 。 一 个 应 用 或 上 层 协议 
可 通过 该 HIP 资源 记录 查找 一 台 主 机 ， 并 得 到 主机 标识 符 〈 以 一 个 公开 密 钥 的 形式 
表示 ) 和 其 他 主机 身份 信息 ， 包 括 主 机 或 一 台 汇 聚 服务 器 的 IP 地址 ， 通 过 汇聚 服务 
器 可 连接 到 移动 设备 。 






RData 





主机 域名 HIT Len. PK Alg PK Len. HIT 公开 密 钥 RVS 


Hiphost. ipamww. com. 





















16 2 24 Il… 8L9d--- rs. ipamww. com 


Rdata 字段 定义 如 下 。 

1) HIT Len (HIT 长度) 。 以 字 节 表示 的 主机 身份 标签 (HIT) 的 长 度 ; 这 个 字 
段 是 由 服务 器 插入 的 ， 目 的 是 线路 (wire) 传输 ， 在 一 个 区 域 文件 内 是 不 显示 的 。 

2) PK Alg (PK 算法 ) 。 用 于 产生 公开 密 钥 的 算法 

D0 = 不 存在 密 钥 。 

@ 1 =DSA 格式 的 密 钥 。 

@ 2 = RSA RAN HH. 

3) PK Len (PK 长 度 ) 。 以 字 节 为 单位 表示 的 公开 密 钥 长 度 ; 这 个 字段 是 由 服务 
器 插入 的 ， 目 的 是 线路 (wire) 传输 ， 在 一 个 区 域 文件 内 是 不 显示 的 。 

4) HIT。 主 机 身份 标签 ， 这 是 主机 标识 符 的 128bit 散 列 值 。 

5) 公开 密 钥 。 与 主机 关联 的 公开 密 钥 ， 可 用 于 验证 来 自主 机 的 签名 消息 。 

6) RVS (可 选 的 ) 。 一 个 或 多 个 汇聚 服务 器 主机 域名 ， 用 于 连接 到 移动 设备 。 

(4) RP 一 一 负责 人 记录 。RP 资源 记录 使 一 个 电子 邮件 地 址 和 其 他 文本 信息 与 域 
树 中 的 一 个 节点 〈 是 一 台 端 主机 或 域 ) 关联 成 为 可 能 。RData 字段 包含 一 个 电子 邮件 
地 址 ， 其 格式 为 不 带 @ 号 的 形式 ; 相反 ， 一 个 点 号 C) 替代 了 @ 号 。RData 字段 的 
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第 二 个 字段 指明 这 样 一 个 记录 ， 它 用 于 附加 文本 信息 ， 可 作为 一 个 附加 查询 的 答案 。 









电子 邮件 地 址 TXT 指针 


cfo. ipamww. com. cfo- contactinfo. ipamww. com. 












在 上 面 的 这 个 例子 中 ， 我 们 使 用 一 条 RP 记录 ， 将 支付 服务 器 与 我 们 的 CFO 关联 
起 来 , 通过 cfo@ ipamww. com 可 找到 他 〈 在 电子 邮件 地 址 字段 中 以 “. ”替换 
“@”). TXT 指针 字段 指向 包含 附加 信息 的 一 个 资源 记录 ， 例 如 下 例 : 

cfo- contactinfo. ipamww. com. 86400 IN TXT “CFO Office (610) -555-1212” , 


10.2.5 DNS 协议 运营 性 的 记录 类 型 


两 个 “管理 型 的 ”资源 记录 类 型 ， 使 区 域 权威 信息 (SOA 记录 ) 的 规范 确定 成 
为 可 能 ， 还 有 使 这 个 域 及 子 域 (NS) 的 名 字 服 务 器 的 委派 成 为 可 能 。 对 于 保持 一 个 
区 域内 DNS 数据 同步 以 及 保持 委派 链 实际 上 是 沿 域 树 向 下 的 关系 ， 要 使 这 两 方面 高 
效 可 操作 ， 这 两 个 记录 类 型 是 有 指导 作用 的 (instrumental) 。 

(1) SOA 一 一 权威 起 始 记 录 。 对 每 个 区 域 ， 仅 可 有 一 个 SOA 记录 ， 如 果 存 在 初 
始 默 认 TTL ($ TTL) 语句 ， 则 在 区 域 文件 中 后 跟 该 语句 。SOA 记录 定义 了 这 个 区 域 


的 权威 域名 ， 还 有 附加 的 区 域 维 护 信息 。SOA 记录 由 如 下 字段 组 成 。 









Mname 联系 信息 ”序列 号 ”刷新 间隔 E A 
超时 间隔 ”负面 缓存 











nsl. ipamww. com admin. ipamww. com. 3945 2h 30m 


lw ld 






1) 这 个 区 域 文件 的 域名 ， 包 含 权 威信 息 。 

2) TTL， 存 活 时 间 。 

3) 记录 类 (对 于 因特网 是 IN)。 

4) 记录 类 型 (SOA) 。 

5) = DNS 服务 器 名 ( MNAME)。DNS 服务 器 的 名 字 ， 它 是 这 个 域 (KR) 的 
主 服 务 器 。 

6) 域 联系 人 的 邮件 地 址 (将 “@ ”替换 为 “.”， 从 而 admin @ ipamworld- 
wide. com 写 为 admin. ipamworldwide. com. ) 。 注 意 在 @ 号 之 前 带 有 点 号 的 电子 邮件 地 
址 ， 应 该 以 一 个 斜 线 为 前 级。 因此 super. admin @ ipamww. com 将 被 编码 为 super \ 
. admin. ipamww. com, 

7) 区 域 的 序列 号 。 在 每 对 区 域 数 据 作出 一 次 改变 时 ， 就 增加 1 一 一 这 使 从 属 服 
务 器 能 够 识别 对 区 域 数 据 所 作 的 改变 。 

8) 刷新 闻 隔 。 从 属 服务 器 查询 主 服 务 器 ， 请 求 区 域 更 新 的 时 间 周 期 。 

9) 重 试 时 间 。 如 果 不 能 联系 到 主 服 务 器 ， 则 从 属 服务 器 将 等 待 这 段 时 间 量 ， 再 
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重 试 联系 主 服务 器 。 

10) 超期 时 间 。 如 果 在 这 段 超 期 时 间 量 之 后 ， 不 能 联系 到 主 服务 器 ， 则 从 属 服 
务 器 将 删除 区 域 信息 ， 并 不 再 认为 它 自 己 是 权威 的 ， 由 此 对 此 区 域 的 权威 性 就 过 
期 了 。 

11) 负面 的 缓存 TTL。 维 护 来 自 其 他 服务 器 的 负面 响应 的 缓存 时 间 段 ， 例 如 一 个 
指定 的 域 或 记录 不 存在 。 

我 们 的 ipamww. com 区 域 文件 的 一 条 范例 SOA 记录 ， 也 许 看 起 来 有 点 像 ipam- 
ww. com. IN SOA dnsl. ipamww. com dnsadmin. ipamww. com ( 

1 ; serial number 

2h ; refresh interval of 2 hours 

30m ; retry after 30 minutes 


lw ; expire after 1 week 


ld) ; negative caching TTL of 1 day 

(2) NS 一 一 名 字 服 务 器 记录 。NS 记录 支持 对 一 给 定 区 域 的 权威 名 字 服 务 器 的 查 
找 。 对 于 NS 数据 库 的 分 发 而 言 ，NS 记录 是 关键 。 在 将 一 个 子 域 委派 给 另 一 个 管理 权 
威 的 过 程 中 ， 出 于 元 余 性 考虑 ， 子 域 管理 员 必 须 运行 至 少 两 台 名 字 服 务 器 。 在 遍历 域 
树 时 ， 这 些 NS 记录 使 域 树 中 沿 解 析 路 径 被 查询 的 名 字 服 务 器 ， 能 够 以 指向 沿 树 向 下 
的 另 一 台 名 字 服 务 器 的 索引 (referral) 作出 应 答 ， 该 名 字 服 务 器 拥有 拟 查 找 目的 地 的 
更 多 信息 。 每 个 区 域 也 必须 针对 其 权威 名 字 服务 器 ， 至 少 声明 两 条 NS 记录 。 






RData 










名 字 服 务 器 域名 





nsl. ipamworldwide. com 





注意 在 RData 字段 中 的 名 字 服 务 器 主机 名 ， 应 该 有 一 条 相应 的 A 或 AAAA 记录 ， 
以 便 完 成 到 一 个 可 达 IP 地址 的 必 备 解析 。 这 被 称 作 一 条 “ 黏 结 ”记录 ， 原 因 是 它 将 
所 期 望 域 的 权威 名 字 服 务 器 主机 名 的 解析 与 那 台 名 字 服 务 器 的 IP 地 址 “ 黏 结 ” 在 
一 起 。 


10.2.6 动态 DNS 更 新 唯一 性 验证 


DHCID 一 一 动态 主机 配置 识别 符 记 录 。 动 态 DNS 支持 DHCP 客户 端的 指派 IP 地 
址 信息 的 DNS 信息 更 新 。 因 此 ， 代 表 客 户 端的 一 台 DHCP 服务 器 ， 或 客户 端 自己 ， 
都 能 够 以 客户 端的 IP 地 址 或 主机 名 关联 ， 通 过 A/AAAA 和 PTRO, 更 新 DNS, 
非常 有 可 能 出 现 如 下 情形 ， 即 同一 主机 名 /FQDN 可 能 为 多 个 DHCP 客户 端 所 声明 ， 
或 一 个 客户 端 声明 一 个 主机 名 ， 但 该 主机 名 已 经 被 指派 给 一 个 预先 确定 的 〈 例 如 ， 
静态 分 配 地 址 的 情形 ) 设备 。 





O 在 DHCID RFC 中 ,将 客户 端 识别 信息 与 PTR 记录 相关 联 ， 当 前 是 没有 规范 的 。 
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DHCP 记录 提供 在 DNS 中 的 客户 端 识别 信息 ， 以 此 唯一 地 将 特定 DHCP 客户 端 与 
主机 名 /FQDN (iE HK DHCP 服务 器 更 新 的 ) 相关 联 。DHCID 记录 将 在 DNS 更 新 消 
息 的 前 提 条 件 节 中 定义 ,目的 是 验证 更 新 的 记录 “ 属 主 ”。 请 参看 前 一 章 的 DNS 更 新 
节 ， 了 解 更 多 细节 以 及 这 个 前 提 条 件 处 理 的 一 个 例子 。 

DHCID 记录 使 用 相应 A 或 AAAA 记录 的 相同 的 属 主 字段 。 该 记录 的 RData 部 分 是 
这 样 形成 的 ， 即 在 如 下 串 接 字段 之 上 使 用 SHA-256 算法 ， 实 施 一 个 单 向 安全 散 列 函数 。 

1) 识别 符 类 型 码 (2B) 。 识 别 生 成 这 个 散 列 值 中 使 用 的 在 DHCP 报 文 内 部 的 信 
息 。 可 能 信息 包括 客户 端 硬件 地 址 、 客 户 端 识 别 符 选 项 或 设备 唯一 识别 符 (UID) 。 

2) 摘要 类 型 码 (1B)。 识 别 散 列 算法 。RFC 定义 了 数值 0 (保留 ) 或 1 (SHA- 
256), {E IANA 维护 了 未 来 数值 指派 的 一 个 注册 机 制 (registry) 。 

3) 来 自 DHCP 报 文 的 数据 的 摘要 ， 是 由 识别 符 值 与 客户 端的 FQDN 串 接 加 以 识别 的 。 






识别 符 类 型 ”摘要 类 型 | 识别 符 类 型 fqdn | 的 SHA-256 散 
列 值 






主机 域名 









10.2.7 电话 号 码 解析 


DNS 被 证 明 功 能 是 非常 多 样 的 ， 甚 至 可 被 用 来 将 电话 号 码 映射 为 了 了 地址， 这 对 
于 VoIP 应 用 或 下 应 用 上 的 相关 电话 功能 是 有 用 的 。 已 经 定义 了 ENUM (E. 164 电话 
号 码 映 射 ) 服务 来 支持 这 样 的 解析 。ENUM 以 ITU E. 164 格式 支持 将 电话 号 码 映射 为 
统一 的 资源 识别 符 (URI)。。 这 个 映射 主要 是 由 命名 权威 指针 (NAPTR) 资源 记录 
类 型 来 实施 。 

注意 ， 多 数 企 业 IP PBX 系统 提供 它们 自己 的 目录 ,将 内 部 PBX 电话 号 码 映射 到 
目的 电话 的 了 P 地 址 ， 所 以 在 这 样 的 环境 中 ENUM 通常 是 不 能 实现 的 。 但 是 ，VolP 提 
供 商 具有 既得 利益 ， 最 大 限度 地 确保 呼叫 保持 在 他 们 的 或 他 们 合作 伙伴 的 IP 网 络 和 
接 入 网 络 上 ， 以 便 降 低 支 付 给 非 伙伴 网 络 提供 商 (或 糟糕 的 情况 下 ， 支 付 给 竞争 对 
手 ) 的 呼叫 处 理 成 本 。ENUM 是 依据 电话 号 码 映 射 或 解析 而 支持 这 种 呼叫 路 由 的 关 
键 。 那 并 不 是 说 ， 您 不 能 在 企业 网 络 内 看 到 ENUM 的 使 用 。ENUM 采用 优先 级 设置 ， 
提供 到 多 个 目的 地 的 解析 ， 在 可 达 性 或 联系 管理 类 型 应 用 中 它 可 找到 应 用 用 途 。 

正如 刚刚 提 到 的 ，NAPTR 资源 记录 提供 了 将 电话 号 码 信息 翻译 为 目的 统一 资源 
识别 符 的 功能 。 当 前 在 RFC 3403m"” 中 定义 ，NAPTR 记录 最 初 是 用 来 定义 提供 如 下 功 
能 的 ， 即 为 动态 委派 发 现 系 统 (DDDS) 提供 和 迭代 地 将 任意 一 个 字符 串 解 析 为 一 个 
URI 的 功能 。 在 RFC 3402… 中 提供 了 有 关 DDDS 的 一 些 背 景 信息 ， 但 它 最 初 源 于 这 样 
的 期 望 ， 即 定义 一 个 解析 过 程 ， 它 可 输入 一 个 资源 名 (例如 一 个 特定 应 用 或 特定 数 


O 一 个 URI 是 一 个 因特网 识别 符 ,由 一 个 统一 的 资源 名 (URN) 和 一 个 统一 的 资源 定位 符 (URL) 组 
成 。 一 个 简单 例子 : 对 于 URL http; //ipamworldwide. com 和 URN file. txt， 对 应 的 URI 是 http; // 
ipamworldwide. com/file. txt, 
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据 片 ) ， 在 其 中 没有 包含 网 络 位 置信 息 ， 并 将 其 解析 到 一 个 目的 资源 识别 符 ， 方 法 是 对 
一 个 数据 库 施用 一 系列 迭代 规则 。 资 源 名 的 规范 与 定位 或 解析 它 的 过 程 的 这 种 分 离 方 
法 ， 有 利于 作出 改变 和 资源 的 重新 委派 ， 而 不 影响 端 用 户 应 用 的 命名 惯例 。 

这 项 工作 扩展 超出 了 解析 资源 名 的 范畴 ， 扩 展 到 支持 通用 查找 字符 串 的 解析 ， 并 
演化 成 DDDS， 它 使 用 DNS 作为 规则 数据 库 的 一 种 形式 。NAPTR 记录 支持 在 DNS 内 
部 指定 这 样 的 规则 ， 有 时 要 使 用 多 条 NAPTR 记录 来 完整 地 完成 解析 过 程 。 每 条 NAP- 
TR 记录 将 一 个 给 定 的 项 字符 串 〈 即 一 个 有 效 的 DNS 域名 ) 转换 为 一 条 规则 ， 该 规则 
可 施用 到 该 字符 串 ， 从 而 推导 出 要 查找 的 下 一 个 字符 串 。 直 到 到 达 一 条 终结 规则 ， 以 
及 最 终结 果 被 返回 到 发 出 请 求 的 应 用 ， 这 个 过 程 的 迭代 才 终 止 。 

对 于 在 IP 上 提供 语音 服务 的 服务 提供 商 而 言 ，NAPTR 记录 是 E. 164 电话 号 码 喘 
射 服务 器 的 构造 块 。RFC 3761'"" 为 ENUM 应 用 提供 了 NAPTR 字段 的 “应 用 特定 的 ” 
解释 。 一 条 NAPTR 记录 可 被 用 来 查找 一 个 目的 电话 号 码 ， 并 将 该 号 码 解析 为 一 
的 地 ， 例 如 一 台 会 话 初 始 协议 (SIP) 服务 器 、 电 子 邮 件 地 址 或 其 他 URI 格式 的 目的 
地 。NAPTR 记录 也 支持 定义 正则 表达 式 的 能 力 ， 它 提供 逻辑 规则 ， 作 为 解析 其 定位 
拟 到 目的 地 过 程 的 “下 一 步 ”。 

E. 164 是 格式 化 电话 号 码 的 一 个 国际 电信 联盟 (ITU) 标准 。“ 完 全 合格 的 ” 电 
话 号 码 ， 意 味 着 它们 是 全 球 唯一 的 ， 给 定 国家 码 前 级 后 跟 一 个 国家 特定 的 电话 号 码 格 
式 ， 被 表示 为 带 有 一 个 加 号 前 级， 例如 +1 -610 -555 - 1234, XRH IP 的 反 向 域 情 
形 ， 将 一 个 电话 号 码 格式 化 ， 要 求 从 左 到 右 读 取 资 源 记 录 的 一 个 类 似 惯例 ， 这 是 从 比 
较 具体 到 不 太 具 体 的 过 程 。 这 个 惯例 要 求 将 完全 合格 的 电话 号 码 (去 掉 加 号 ) RA, 
并 将 每 个 数字 以 “点 ”号 (. ) 分 隔 。 

主要 . arpa 顶层 域 的 使 用 。 类 似 于 BRON re 
ip6. arpa 和 in-addr. arpa. ik 结 fy, e- 
164. arpa 域 是 一 个 “ 反 向 ” 域 ， 其 中 它 支 
持 一 个 带 结构 数字 值 的 查找 ， 即 一 个 电话 
号 码 。 像 其 他 . arpa 查找 一 样 ， 域 结构 也 是 
从 底 向 上 组 织 的 ， 从 一 般 到 特殊 ， 或 国家 个 体 IP 
代码 到 电话 线 号 码 的 顺序 。 因 此 ， 完 全 格 树叶 
式 化 的 E. 164 电话 号 码 是 反 向 的 ， 每 个 数 10.2 映射 到 域 结构 的 电话 号 码 
字 采 用 点 号 分 隔 ， 并 附加 e164. arpa. 域 后 
缀 ， 如 图 10-2 所 示 。 

这 个 结构 恰如其分 地 导 和 人 到 电话 号 码 空间 的 分 段 。 例 如 ， 域 1. e163. arpa 指 代 所 
有 国家 代码 为 1 的 电话 号 码 ， 并 可 被 委派 给 这 样 的 一 个 号 码 权 威 机 构 。 类 似 地 ， 
44. e164. arpa. 可 被 委派 给 英国 电话 号 码 权威 机 构 。 在 每 个 这 样 的 域内 ， 可 依据 国家 
的 编号 计划 ， 完 成 进一步 的 委派 。 例 如 ， 在 美国 国内 ， 一 个 区 域 代码 代表 下 一 个 逻辑 的 
管理 委派 点 ， 后 面 串 接 交 换 机 (exchange) 。 因 此 ，1. e164. arpa 可 将 0. 1. 6. 1. e164. arpa. 
区 域 委派 给 610 区 域 码 的 编号 管理 员 ， 他 接 下 来 将 5. 5. 5. 0. 1. 6. 1. e164. arpa. 委派 给 610 
区 域 码 内 负责 555 交换 机 的 那些 管理 员 。 


ERRE M 
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(1) NAPTR 一 一 命名 权威 点 记录 。NAPTR 记录 提供 将 一 个 字符 串 2 或 电话 号 码 
信息 转换 为 目的 统一 资源 识别 符 的 方法 。NAPTR 记录 利用 上 面 在 其 自己 字段 内 描述 
的 e164. arpa. 域 命名 惯例 ， 用 作 电 话 号 码 的 查找 格式 。 不 幸 的 是 ， 迄 今 为 止 这 是 唯一 
容易 的 部 分 。NAPTR 记录 在 其 RData 字段 内 包含 许多 附加 的 子 字段 。 下 面 描述 附加 
的 子 字 段 ， 为 NAPTR 记录 的 ENUM 应 用 提供 了 多 个 例子 。 

1) 顺序 (Order) 字段 。 指 定 RRSet 内 多 条 记录 被 处 理 的 顺序 ; 首先 处 理 低 编 号 
顺序 的 记录 。 

2) 优先 级 字段 。 指 定 带 有 相等 “顺序 ” 值 的 记录 被 处 理 的 顺序 。 首 先 处 理 低 编 
号 优先 级 的 记录 。 

3) 标志 。 就 解析 过 程 中 “下 一 查找 ”提供 有 关 信 息 。 迄 今 为 止 ， 已 经 定义 了 四 
个 标志 数值 ， 但 标志 字段 可 以 是 空 的 。 

® “u” 这 条 记录 的 正则 表达 式 的 输出 是 一 个 统一 的 资源 识别 符 ， 即 这 是 一 个 终 
结 解析 。 

“s” 下 一 条 查找 应 该 是 针对 SRV 记录 的 。 

@@“a” 下 一 条 查找 应 该 是 针对 A、A6 或 AAAA 记录 的 。 

@“p” 依 据 服 务 字 段 中 确定 的 协议 ， 下 一 个 查找 是 特定 于 协议 的 。 

4) 服务 。 这 个 字段 对 服务 编码 ， 这 些 服 务 基 于 存在 疑问 的 应 用 ， 是 可 用 的 。 这 
个 字段 包括 所 提供 解析 的 类 型 、 一 个 “+ ”号 或 冒号 ， 后 跟 协 议 值 ， 例 如 http, sip, 
mailto、ftp、tel， 还 有 其 他 的 协议 ， 这 里 仅 列 举 这 些 ? 。 类 型 或 解析 的 例子 包括 以 下 
内 容 。 

@ I2L。URI 到 URL, 

© N2L。 统 一 资源 名 (URN) 到 URL, 

@ E2U, ENUM 服务 到 URI, 

5) 正则 表达 式 。 需 要 评估 计算 的 一 个 编码 过 的 表达 式 。 这 个 字段 的 语法 是 一 个 
sed 风格 的 表达 式 。 

6) 替代 。 在 没有 一 个 正则 表达 式 条 件 下 ， 一 个 替代 的 “下 一 查找 ”完全 合格 的 
域名 。 


属 主 TTL 类 类 型 RData 

ne 顺序 优先 级 标志 服务 E 
则 表达 式 ”替代 
10 5 “as” “N2L + httpe +r 





TTL IN NAPTR 










me. ipamww. com 86400 IN NAPTR 9 
www. ipamww. com. 





F| 10 20 “u” “E2U + sip” “! ~ 
43.2. l 55.5.01 i 
86400 IN NAPTR $1 sip:me@ 
6. 1. e164. arpa 


ipamww. com. |” 
让 我 们 更 仔细 地 看 看 上 面 的 两 个 范例 NAPTR 记录 。 第 一 个 例子 提供 了 

















O “字符 串 〈 复 数 ) ” 指 代 文 本 或 数据 字符 串 〈 复 数 ) 。 幸 运 的 是 ， 这 不 是 DNS 的 “字符 串 理论 ”。 
© MT ENUM 目前 指派 的 服务 值 ,请 参考 http: //www. iana. org/ assignments/enum- services, 
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me. ipamww. com 解析 的 一 条 规则 。 标 志 字 段 值 “s” 向 解析 器 指明 ， 下 一 查询 应 该 是 
对 SRV 资源 记录 的 一 条 查询 。 服 务 字段 指明 使 用 HTTP 的 一 个 URN 到 URL 服务 。 因 
为 正则 表达 式 字段 是 空 的 ， 所 以 替代 字段 被 用 作 解 析 处 理 的 结果 。 

第 二 个 例子 突出 了 一 个 ENUM 应 用 例 ， 其 中 可 解析 对 一 个 电话 号 码 的 查找 。“u” 
标志 指明 所 提供 正则 表达 式 的 结果 将 是 一 个 URI， 之 后 可 将 该 URI 解析 到 一 个 卫 地 
址 。 服 务 字 段 指明 使 用 SIP 的 ENUM 服务 。 正 则 表达 式 字段 由 两 个 子 字 段 组 成 ， 以 
“! ”字符 封装 。 第 一 个 字段 包含 “… * $”， 被 解释 为 “从 行 开 始 C) 起 到 行 尾 
C$) 实施 匹配 ， 零 个 或 多 个 (* ) 字符 (. )”， 即 匹配 整个 属 主 字 段 。 正 则 表达 式 
的 第 二 部 分 包含 “sip: me@ ipamworldwide. com”， 这 作为 我 们 正则 表达 式 的 结果 被 返 
回 。 在 这 种 情形 中 没有 使 用 替代 字段 。 

之 后 得 到 的 URI, sip: me@ ipamworldwide. com 将 发 起 一 条 DNS 查询 ， 查 询 ipam- 
worldwide. com 的 一 个 地 址 (A 或 AAAA) 记录 。 注 意 ， 一些 DNS 服务 器 可 返回 相关 
A 或 AAAA 记录 ， 作 为 查询 响应 中 的 附加 信息 ， 它 包含 NAPTR 记录 。 得 到 的 IP 地 址 
将 被 用 作 目 的 地 址 ， 以 便 发 起 到 “me” 用 户 的 sip 会 话 。 


10.3 EMAIL 和 反 垃 圾 邮件 管理 


垃圾 电子 邮件 或 没有 被 请 求 的 块 (unsolicited bulk) 电子 邮件 ， 自 因特网 诞生 伊 
H, 一直 就 是 无 聊 的 废话 ， 即 使 在 早期 日 子 里 它 也 是 经 常 不 被 赞同 的 一 种 做 法 。 尽 管 
如 此 ， 随 着 因特网 的 爆炸 式 增长 ， 垃 圾 邮件 的 总 量 似乎 增长 得 更 快 。 存 在 各 种 技术 来 
对 抗 垃圾 邮件 ， 多 数 这 样 的 技术 涉及 DNS 的 使 用 。 为 了 理解 DNS 如 何 能 够 帮助 减少 
垃圾 邮件 ,我 们 将 首先 剖析 一 下 一 个 电子 邮件 的 传输 (包括 在 电子 邮件 交付 中 DNS 
的 角色 ) ， 之 后 回顾 一 下 在 各 种 反 垃 圾 邮件 解决 方案 中 DNS 的 使 用 。 


10.3.1 电子 邮件 和 DNS 


典型 情况 下 ， 一 封 电子 邮件 源 于 一 个 人 ， 并 被 发 送 到 一 个 或 多 个 接收 者 。 每 个 电 
子 邮 件 地 址 的 格式 如 mailbox@ maildomain。 通 常情 况 下 ，mailbox (电子 邮箱 ) HRA 
名 或 一 个 邮箱 的 主人 或 电子 邮件 账号 ， 而 maildomain (邮件 域 ) 典型 地 是 公司 或 因 特 
网 提供 商 名 字 ， 是 交付 到 对 应 邮箱 或 邮件 交换 中 心 (exchanger) 的 目的 域 。 电 子 邮 
件 是 用 如 下 方法 发 送 的 ， 使 用 一 个 电子 邮件 客户 端 ， 例 如 微软 Outlook, Eudora 或 基 
于 web 的 客户 端 (例如 yahoo 和 google) ， 当 由 源 发 信人 发 送 时 ， 客 户 端 就 连接 到 一 个 
简单 邮件 传递 协议 (SMTP) 服务 器 (使 用 SMTP) 发 送 电子 邮件 。 就 像 电 子 邮 件 的 
默认 路 由 器 一 样 ，SMTP 服务 器 负责 将 电子 邮件 转发 到 它 的 目的 地 。 

为 了 消息 传输 ，SMTP 服务 器 必须 将 邮件 域 (maildomain) 解析 到 一 个 IP 地 址 。 
自然 地 这 是 使 用 DNS 对 邮件 交换 器 (MX) 记录 类 型 以 及 对 应 的 A 或 AAAA 记录 类 型 
的 查找 ， 完 成 这 项 工作 的 。 

MX 一 一 邮件 交换 器 记录 。 邮 件 交 换 器 记录 被 用 来 定位 一 个 特定 域 的 一 台电 子 邮 
件 服 务 器 或 多 台 服 务 器 。 如 果 发 送 目的 地 为 tim@ ipamworldwide. com 的 一 封 电子 邮 
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件 ，SMTP 服务 器 将 使 用 DNS 寻找 可 为 ipamworldwide. com 域 中 各 用 户 接收 电子 邮件 
的 主机 (可 能 是 多 台 主 机 )。 可 为 每 个 域 构造 一 条 以 上 的 MX 记录 ， 每 条 记录 定义 时 
都 带 有 一 个 不 同 的 优先 级 数值 。 优 先 级 字段 的 使 用 ， 使 发 送 SMTP 服务 器 能 够 对 目的 
主机 (将 为 给 定 域 转发 电子 邮件 ) 进行 优先 级 排序 ， 如 果 不 可 用 ， 就 转向 第 二 个 
(或 第 三 个 等 ) 可 选 目的 地 。 优 先 级 数值 越 低 ， 则 所 列 目 的 地 被 首选 的 可 能 就 越 高 。 
在 下 面 的 例子 中 ， 对 ipamworldwide. com 域 ， 有 两 条 MX 记录 。 目 的 smtpl ( 低 优先 级 
数值 ) 要 比 smtp2 优先 选中 。 但 是 ， 如 果 smtpl 不 可 用 ， 则 这 种 机 制 提 供电 子 交 付 的 
一 台 备 份 服 务 器 。 
属 主 

电子 邮件 目的 域 


ipamworldwide. com. 





RData 
优选 ”邮件 服务 器 主机 域名 


10 smtpl. ipamworldwide. com. 






















ipamworldwide. com. 20 smtp2. ipamworldwide. com. 





注意 ,为 了 完成 所 需 的 一 个 可 达 IP 地 址 的 解析 ， 在 RData 字段 内 的 邮件 服务 器 
主机 域名 必须 有 一 条 对 应 的 A 或 AAAA 记录 。 许 多 DNS 服务 器 在 MX 查询 响应 的 附 
加 节 内 提供 这 些 地 址 记录 。 

在 解析 目的 邮件 服务 器 时 ，SMTP 服务 器 使 用 SMTP 向 目的 地 发 送 该 消息 。 最 终 
的 目的 服务 器 ， 接 收 者 电子 邮件 客户 端 要 连接 到 该 服务 器 ， 它 必须 支持 邮局 协议 
(POP) 或 因特网 消息 存 取 协 议 〈(IMAP) ， 以 便 使 客户 端 可 检索 电子 邮件 消息 。 因 此 ， 
当 您 的 电子 邮件 客户 端 执行 一 条 “send/receive” ( 发送/ 接收) 操作 时 ， 它 利用 SMTP 
将 外 发 消息 发 送 到 其 配置 的 SMTP 服务 器 ,利用 POP 或 IMAP 从 配置 的 POP/IMAP 服 
务 器 (可 能 是 多 台 ) 处 检索 收 到 的 电子 邮件 消息 。 

图 10-3 突出 显示 了 两 台 服 务 器 间 一 个 非常 简单 的 SMTP 事务 ( 当 我 的 朋友 迈克 
发 送 给 我 一 条 电子 邮件 时 ) 。 在 图 的 左 侧 ， 迈 克 使 用 他 的 电子 邮件 客户 端 ， 撰 写 一 封 
给 tim@ ipamworldwide. com 的 电子 邮件 ， 并 发 送 该 邮件 。 依 据 针 对 ipamworldwide. com 
的 MX 记录 (可 能 是 多 条 ) 解析 结果 ， 他 所 配置 的 SMTP 服务 器 将 该 消息 转发 到 目的 
服务 器 。 他 的 SMTP 服务 器 在 端口 25 上 发 起 到 所 解析 目的 服务 器 的 一 条 TCP 连接 。 

一 旦 建立 TCP 会 话 ， 则 SMTP 应 用 就 利用 该 会 话 进 行 握手 ,并 处 理 消息 。 消 息 的 
信封 部 分 以 HELO (或 EHLO， 这 是 增强 的 HELO) 开始 ， 它 携带 发 送 实体 的 身份 。 
MAIL FROM 语句 指明 消息 的 源 ， 后 跟 RCPT TO 语句 ， 指 明 目 的 邮箱 。 在 交换 过 程 中 
的 此 点 ， 如 果 目 的 邮箱 未 知 或 被 阻止 ， 或 如 果 “ 来 源 地 址 ”(from address) 是 被 禁止 
的 ， 则 接收 者 服务 器 可 拒绝 接收 消息 ， 并 关闭 连接 。 和 否则 ， 事 务 继续 进行 ， 接 着 传递 
数据 或 消息 部 分 ” 。 接 收 邮件 交换 器 存储 电子 邮件 消息 或 将 其 转发 到 目的 邮箱 所 在 的 
服务 器 。 

接收 电子 邮件 服务 器 所 使 用 的 存储 转发 方法 ， 也 可 由 中 间 电 子 邮件 网 关 ( 即 消 


O 注意 一 封 电 子 邮件 的 消息 部 分 是 由 一 个 头 部 和 体 组 成 的 。 作 为 一 个 参考 文献 ，RFC 282119) 定义 
SMTP 规范 ， 而 RFC 28220% 定义 了 电子 邮件 的 因特网 消息 格式 ， 它 定义 有 效 的 头 和 数据 语法 。 
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息 传递 代理 ) 使 用 ， 用 来 提供 多 跳 电子 邮件 交付 。 如 上 所 述 ， 一 个 目的 邮件 域 到 多 
个 MX 记录 的 解析 ， 意 味 着 识别 一 个 “目的 ”邮件 服务 器 的 这 种 能 力 ， 该 服务 器 可 
能 是 或 可 能 不 是 最 终 目 的 地 ， 由 此 处 预期 中 的 接收 者 检索 电子 邮件 。MX 记录 优先 级 
字段 提供 了 对 进入 邮件 服务 器 或 网 关 相 对 优先 级 的 控制 ， 同 时 提供 了 基于 可 用 性 和 性 
能 而 在 多 个 选项 间 选 择 的 能 力 。 





SMTP SMPT POP3 BKIMAP 


TCP 建立 
信封 一 一 220 smtp.ipamworldwide.com 
—> EHLO smtp.ipamww.com 
—— 250 ipamww.com 
— MAIL FROM:<mike@ipamww.com> 
—— 250 OK 
—> RCPT TO:<tim@ipamworldwide.com> 
—— 250 OK 


消息 — DATA 
—~<— 354 Start mail input;end with<CR><LF>.<CR><LE> 


— Subject:SMTP Demonstration 
— From:mike@ipamww.com 
— To:tim@ipamworldwide.com 
— This is a test message! 


一 一 


一 -250 OK 


QUIT 
221 BYTES 


图 10-3 简单 SMTP 事务 例 


图 10-4 形象 地 说 明了 使 用 SMTP 的 一 个 两 步 又 电子 邮件 交付 的 场景 。 在 这 个 场 
景 中 ， 我 正在 发 送 如 图 10-3 所 示 的 同一 电子 邮件 。 但是， 在 这 种 情形 中 ， 也 许 预期 
中 的 目的 服务 器 smtp. ipamworldwide. com 正 忙 ， 并 拒绝 一 条 直接 的 连接 。 因 为 通过 一 
条 DNS MX 查询 解析 了 ipamworldwide. com 服务 器 和 一 个 mta- gateway. com 服务 器 ， 所 
以 我 们 的 外 发 邮件 服务 器 将 尝试 向 第 二 项 选择 mta- gateway. com 发 送 该 电子 邮件 。 

在 接收 来 自我 的 邮件 服务 器 的 SMTP 传输 过 程 中 ，mta- gateway. com 服务 器 实际 上 
同意 了 代表 我 将 该 邮件 转发 到 最 终 目 的 地 。 在 尝试 第 二 条 传输 路 径 之 前 ， 我 的 邮件 服 
务 器 和 mta- gateway. com 服务 器 之 间 的 事务 就 完成 了 。SMTP 使 用 一 种 存储 转发 方法 ， 
而 不 是 每 条 消息 的 同步 中 继 。 

除了 SMTP 服务 器 的 区 别 之 外 ， 传 输 的 第 一 条 分 支 看 起 来 非常 类 似 于 图 10-3 中 
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SMTP SMTP POP3 或 IMAP 


TCP 建立 
ae 


























图 10-4 电子 邮件 中 继 


的 路 径 。 和 第 一 条 分 支 一 样 ， 除 了 SMTP 端点 的 区 别 外 ， 连 接 的 第 二 条 分 支 也 是 类 似 
的 。 男 一 个 区 别 是 在 邮件 的 数据 节 的 头 部 内 插入 Received: 行 。 每 台中 间 经 过 的 
SMTP 服务 器 (转发 该 消息 ) 都 在 前 面 加 入 一 个 “Received” 行 ， 指 明 它 的 域名 和 相 
Je FS Bt EJ BK o His Eas De ABB RCPT TO 
行 保持 相同 ， 表 明 在 交付 中 出 现 错误 时 ， 应 该 发 送 到 的 邮箱 。 

一 封 电子 邮件 的 消息 部 分 由 一 个 头 部 和 体 组 成 。 每 个 头 部 字段 由 一 个 英文 字 后 跟 
一 个 冒号 和 一 个 值 组 成 。 头 部 包含 各 种 数据 ， 包 括 如 下 字段 : 

1) 源 发 字段 。From sender, reply-to, orig-date。 

2) 目的 字段 。to、cc、bec。 

3) 识别 字段 。Message-id、in-reply-to、refercences (参见 )、msg-id、id-left、id- 
right, no-fold- quote 、no-fold- literal。 

4) 信息 型 字段 。Subject (主题 ) comments (注释 ) keywords (关键 词 ) 。 

5) 重 发 字段 〈 例 如 由 一 项 电子 邮件 服务 将 一 条 消息 重新 引入 8 因特网 有 关 的 信 


息 型 字段 ) 。Resent- date 、resent-from 、resent- sender, resent-to, resent-cc, resent-bec, 





O ”重新 引入 不 是 转发 。 带 有 原始 发 送 者 (而 不 是 传输 者 ) 信息 的 一 封 电子 邮件 的 传输 被 认为 是 重新 
引入 。 转 发 使 用 执行 转发 的 邮箱 作为 发 送 者 。 
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resent-msg-id。 

6) 源 跟 踪 信 息 。Trace、return、path received、name-val-list、name-valpair、item- 
name, item-value, 

我 们 已 经 总 结 了 基本 的 电子 邮件 收发 过 程 和 信息 类 型 ， 这 些 可 被 包括 在 一 条 给 定 
的 电子 邮件 消息 内 ， 原 因 是 在 验证 发 送 者 是 电子 邮件 的 一 名 合法 或 可 接受 的 发 送 者 
时 ， 不 同 的 反 垃 圾 技术 利用 不 同 的 信息 源 。 


10.3.2 和 白 名 单 或 黑 名 单方 法 


白 名 单 或 黑 名 单 的 使 用 “” ， 为 接收 者 的 电子 邮件 服务 器 通过 DNS 查找 一 名 发 送 
者 的 人 地址 ， 并 验证 其 合法 性 ， 提 供 了 一 种 简单 方法 。 典 型 情况 下 ， 这 种 查找 是 如 
下 形成 的 ， 即 将 电子 邮件 消息 的 源 IP 地 址 反 向 处 理 ， 就 像 形成 PTR 记录 时 所 做 的 那 
样 。 注 意 正在 被 分 析 的 源 UP 地 址 是 电子 邮件 被 直接 接收 处 的 IP 地 址 ， 也 许 是 一 个 电 
子 邮件 网 关 ， 它 可 能 是 或 可 能 不 是 原始 发 送 者 。 但 是 ， 这 种 列 名 单 的 意图 ， 是 依据 
IP 地 址 来 识别 电子 邮件 的 这 种 发 送 者 是 否 为 合法 的 。 

在 这 个 场景 中 ,在 反 向 的 卫 地 址 后 附加 一 个 给 定 的 域名 ， 典型 情况 下 是 黑 名 单 
提供 商 的 域名 。 由 此 ， 通 过 串 接 形成 这 个 “主机 域名 "， 使 用 A 字样 记录 查询 类 型 
(FÆ PTR), 在 DNS 中 查询 。 基 于 是 否 找到 该 记录 〈 在 这 种 情形 下 经 常 返回 128/8 
地 址 块 内 的 一 个 下地 址 ) 和 列表 是 否 发 布 已 知 的 垃圾 发 送 者 〈 黑 名 单 或 阻塞 名 单 ) 
或 已 知 的 非 垃圾 发 送 者 〈 白 名 单 ) ， 对 查询 答案 进行 解释 。 

例如 ， 在 接收 到 带 有 源 IP 地 址 为 192. 0. 2. 95 的 一 封 电 子 邮件 消息 时 ， 我 的 电子 
邮件 服务 器 形成 对 主机 名 95. 2. 0. 192. spamblacklist. org 的 一 条 A 记录 查询 ， 其 中 假定 
我 所 选中 的 黑 名 单 提供 商 在 spamblacklist. org 域内 发 布 查找 。 在 接收 到 带 有 答案 CIP 
地 址 ) 127. 0. 0.5 的 一 条 应 答 时 ， 我 的 电子 邮件 服务 器 将 该 电子 邮件 分 类 为 垃圾 邮 
件 ， 并 拒绝 接收 该 邮件 。 另 一 方面 ， 如 果 对 查询 返回 NXDOMAIN, ， 则 可 允许 接收 该 
电子 邮件 。 一 项 白 名 单列 表 服 务 ， 它 发 布 已 知 的 、 名 副 其 实 的 电子 邮件 服务 器 地 址 ， 
将 基于 DNS 查找 ， 得 到 相反 的 解释 。 


10.3.3 发 送 者 策略 框架 


发 送 者 策略 框架 (SPF) 目前 由 RFC 4408" 定义 ,该 RFC 处 于 试验 状态 。SPF 
使 一 个 组 织 机 构 发 布 其 自己 授权 的 外 发 电子 邮件 地 址 的 列表 、 一 个 自发 布 的 白 名 单 ， 
虽然 本 质 上 来 说 要 更 加 复杂 。 在 SPF 下 ， 所 接收 到 的 电子 邮件 消息 的 信封 信息 ， 是 要 
检查 的 ， 来 自 接收 者 的 一 条 SPF DNS 查询 的 形成 ， 要 依据 发 送 者 、 发 送 者 的 域 以 及 
源 IP 地 址 。 在 接收 到 一 条 电子 邮件 消息 时 ， 接 收 者 电子 邮件 服务 器 将 发 起 一 条 查询 ， 
查询 源 域名 的 一 条 SPF 资源 记录 。SPF 记录 是 作为 “机 制 ” 的 一 个 字符 串 编码 的 ， 这 
些 机 制 被 用 来 处 理 源 IP 地 址 (电子 邮件 是 从 该 地 址 发 出 的 ) MAIL FROM 或 HELO 
身份 的 域 部 分 以 及 从 MAIL FROM 或 HELO 身份 得 到 的 发 送 者 。 

(1) SPF 一 一 发 送 者 策略 框架 记录 。 发 送 者 策略 框架 ， 尝 试 提供 如 下 方面 的 验 
证 ， 即 配置 哪些 主机 为 一 个 给 定 的 域 发 送 电 子 邮 件 的 验证 。 即 SPF 寻求 从 伪造 域 中 去 
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除 垃 圾 电子 邮件 。 一 台 接 收 者 电子 邮件 主机 可 查找 发 送 者 域 的 SPF 记录 ， 用 来 验证 发 
送 电子 邮件 的 主机 是 否 匹 配 发 送 者 所 授权 的 那些 主机 。SPF 版 本 1 (也 称 作 SPF 经 典 
WR) 是 在 RFC 4408 中 描述 记录 的 ， 它 利用 了 SPF 资源 记录 。 域 管理 员 可 以 配置 电子 
邮件 主机 DNS， 这 些 主机 映射 到 每 台 主 机 的 mailfrom 和 SMTP HELO 身份 。SenderID 
是 一 项 相关 的 垃圾 邮件 检测 技术 ， 它 也 使 用 了 SPF 资源 记录 类 型 ， 但 它 分 析 来 自 一 封 
进入 电子 邮件 消息 的 不 同 信息 。 稍 后 我 们 将 讲解 SenderID 。 

注意 ， 由 于 在 IETF 发 布 RFC 4408 之 前 ，SPF 的 各 种 实现 都 使 用 TXT 记录 ， 所 以 
出 于 后 向 兼容 目的 ， 多数 实现 将 同时 使 用 SPF 和 TXT 记录 ， 但 如 果 返 回 了 TXT 和 
SPF 记录 ， 则 一 个 SPF 兼容 的 解析 器 将 丢弃 TXT 记录 。SPF 记录 的 格式 与 TXT 记录 的 
格式 是 等 价 的 。 但 是 ，SPF 应 用 了 一 种 特定 的 语法 ， 而 不 是 任意 的 文本 。 该 语法 包括 
一 个 版 本 字符 串 〈 对 于 SPF ，v = spf1; 对 于 接 下 来 要 讲解 的 SenderID v = spf2.0), 
后 跟 一 个 空格 ,接着 是 一 项 或 多 项 ， 它 们 定义 了 有 关 资 源 记 录 类 型 或 全 网 络 地 址 、 
修饰 符 其 至 宏 的 标识 符 (qualifier) 。 







版 本 、 命 令 (directives) 和 /或 修饰 符 
v=spfl + ip4:192.0.2.32/30 -所 有 的 






smtp. ipamww. com. 








spf2.0 pra + ip4:192.0. 2.32/30 -所 有 的 


smtp. ipamww. com. 


(2) 各 种 机 制 。 各 种 机 制 支持 在 SPF (或 TXT) 记录 内 部 指定 匹配 准则 ， 一 台 
接收 电子 邮件 服务 器 可 查询 该 记录 ， 以 便 验 证 一 个 给 定 电子 邮件 消息 的 发 送 者 。 在 指 
定 SPF 版 本 (当前 版 本 为 1， 即 “v= spf1”) 之 后 ,在 SPF 记录 的 RData 字段 内 定义 
各 种 机 制 ， 是 按照 从 左 到 右 的 顺序 对 各 种 机 制 进行 评估 的 。 如 果 基 于 对 机 制 的 评估 ， 
一 种 机 制 得 以 通过 ， 则 就 通过 了 验证 ; 否则 ， 直 到 找到 一 种 机 制 时 通过 或 失败 ， 或 没 
有 定义 其 他 机 制 的 情况 出 现 之 前 ， 就 都 要 测试 下 一 个 机 制 。 

每 种 机 制 都 是 以 一 个 标识 符 定 义 的， 这 是 指令 邮件 或 垃圾 过 滤器 服务 器 如 何 接收 
一 个 给 定 “匹配 ”的 一 个 前 绥 。 

1) + = 通过 (默认 的 )。 如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 通过 了 。 

2) - = 失败 。 如 果 这 种 机 制 得 以 匹配 ， 则 认为 这 种 机 制 是 一 次 失败 。 

3) ~ = 软 失 败 。 如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 处 于 中 性 和 失败 之 间 
的 某 个 位 置 ; 如 果 这 种 机 制 得 以 匹配 ， 则 这 种 解释 将 不 会 使 这 项 检查 就 失败 了 ， 而 是 
保留 它 以 便 进行 密切 的 检查 。 

4)? = 中 性 的 .如 果 这 种 机 制 得 以 匹配 ， 就 认为 这 种 机 制 是 中 性 的 。 

可 与 如 下 基于 资源 记录 检查 的 机 制 一 起 ， 来 使 用 标识 符 ， 以 便 定义 一 种 给 定 机 制 
的 解释 ， 如 下 各 例 所 示 。 

1) a=W (RA MAIL FROM 或 HELO 身份 ) 的 A 记录 ; 如 果 它 匹配 消息 
的 源 IP 地址， 则 这 种 机 制 就 匹配 了 。 这 可 将 范围 限制 在 一 个 特定 域 和 /或 在 地 址 中 要 
比较 的 CIDR 比特 数 ， 如 下 各 例 所 示 。 

D +a= 通 过 ， 如 果 源 域 的 A 记录 查询 匹配 源 卫 地址 。 
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@ -a: ipamworldwide. com = 失败， 如果 ipamworldwide. com 的 一 条 A 记录 查询 匹 
配 源 IP 地 址 。 

@ ~a/24 软 失败 ， 如 果 通 过 源 域 的 A 记录 查询 ， 所 检索 的 IP 地 址 的 前 24bit, 
匹配 源 IP 地 址 的 前 24bit。 

2) mx = 查找 源 域 (来 自 MAIL FROM 或 HELO 身份 ) 的 MX 记录 ; 对 于 每 个 要 
解析 的 MX 查找 ， 查 找 相应 的 A 记录 ; 如 果 它 匹配 消息 的 源 卫 地 址 ， 则 这 种 机 制 就 
得 以 通过 。 和 a 机 制 一 样 ，mx 机 制 可 将 范围 限制 在 一 个 特定 域 和 /或 在 地 址 中 要 比较 
的 CIDR 比特 数 ， 如 下 各 例 所 示 。 

Q + mx: ipamworldwide. com/28 = 通过， 如 果 返 回 与 一 条 MX 记录 查找 相关 联 的 
一 个 A 记 录 ， 其 中 前 28bit 匹配 该 消息 的 源 IP 地 址 的 前 28bit。 

3) ptr = 查找 对 应 于 电子 邮件 消息 的 源 卫 地址 的 PTR 记录 (可 多 达 10 条 ); 之 
后 与 PTR 查找 中 返回 的 每 个 域名 进行 比较 。 

D 检查 所 返回 的 域名 匹配 电子 邮件 消息 的 源 域 。 

© 检查 相应 AR AAAA 记录 所 返回 的 一 个 IP 地 址 ， 要 匹配 源 IP 地 址 。 

如 果 上 述 两 个 条 件 成 立 ， 则 这 种 机 制 得 以 通过 。 这 种 机 制 可 进一步 受到 一 个 域名 
的 限制 ， 该 域名 可 被 用 来 过 滤 多 个 返回 的 PTR 查找 的 域名 ， 如 下 各 例 所 示 。 

O -ptr: 失败 ， 如 果 在 源 卫 地 址 的 PTR 查找 过 程 中 所 返回 的 一 个 域名 ， 匹 配 源 
域 ， 以 及 如 果 在 PTR 查找 过 程 中 所 返回 域名 对 应 的 A/AAAA 域名 ， 匹 配 电子 邮件 的 
源 IP 地 址 。 

@ +ptr: ipamworldwide. com; 通过 ， 如 果 在 源 IP 地 址 的 PTR 查找 过 程 中 所 返回 
的 一 个 域名 ， 匹 配 源 域 ， 同 时 落 在 ipamworldwide. com 域内 ， 以 及 如 果 在 PTR 查找 过 
程 中 所 返回 域名 对 应 的 A/AAAA 域名 ， 匹 配 电子 邮件 的 源 IP 地 址 。 

4) ip4 = 验证 源 IP 地 址 匹配 所 指定 的 IPv4 地 址 ; 这 种 机 制 可 由 CIDR 长 度 标 出 ， 
如 下 例 所 示 。 

@D ? ip4: 192.0.2.32/30。 中 性 的 ， 如 果 消 息 的 源 IP 地 址 落 在 192.0.2.32 ~ 
192. 0. 2.35 内 。 

5) ip6 = 验证 源 IP 地 址 匹配 所 指定 的 IPv6 地 址 ; 这 种 机 制 可 由 前 缀 长 度 标 出 ， 
如 下 例 所 示 。 

@ +ip6: 2001; db8: f02b; 2a:: /64。 通 过 ， 如 果 消 息 的 源 IP 地 址 落 在 2001: 
DB8: F02B: 2A:: /64 网 络 内 。 

6) exists; domain name = 查找 对 应 于 domain name 的 A 记录 (FÆ AAAA wW 
录 ); 如 果 提 供 任意 答案 (IP 地 址 )， 则 这 种 机 制 就 得 以 匹配 (这 种 机 制 必须 以 要 匹 
配 的 一 个 域名 进行 范围 限制 )， 如 下 例 所 示 。 

Q exists; ipamworldwide. com; 匹配 ， 如 果 ipamworldwide. com 域 的 一 条 A 记录 查 
找 返 回 一 个 IP 地址 的 话 。 

7) include; domain name = 为 了 利用 其 SPF 策略 (例如 ， 利 用 来 自 多 个 ISPS 
一 个 域 或 来 自 其 他 域 (你 是 从 这 里 发 送 电子 邮件 的 ) 的 策略 ) ， 递 归 地 评估 domain_ 


name, 
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8) all = 匹配 任何 东西 ; 如 果 前 面 没有 机 制 匹配 就 会 失败 的 话 ， 则 -all 通常 用 作 
最 后 参数 。 

(3) 修饰 符 。 为 了 提高 附加 信息 ， 则 可 在 SPF 记录 内 指定 修饰 符 。 修 饰 符 是 名 
字 - 值 对 , 已 经 定义 了 其 中 两 个 。 

1) redirect = domain_ name; 使 SPF 记录 的 “别名 法 ”将 一 个 常见 的 SPF 处 理 记 
录 ( 比 如) 施用 到 多 个 域 。 这 为 正在 发 生 的 变更 管理 提供 了 方便 : 在 一 条 记录 中 改 
变 处 理 ， 最 小 化 出 现 错误 的 机 会 ， 就 最 大 化 了 一 致 性 。 在 下 例 中 ， 对 ipamworld- 
wide. com 域 的 MX 记录 检查 也 将 施用 到 hq 和 euro 子 域 。 


hq. ipamww. com. IN SPF “v= spfl redirect = _ spf. ipamworldwide. com” 


euro. ipamww. com. IN SPF “v= spfl redirect = _ spf. ipamworldwide. com” 


_ spf. ipamworldwide. com. IN SPF “v =spfl +mx: ipamworldwide. com - all” 

重 定向 可 如 上 例 一 样 显 式 使 用 ， 或 作为 “最 后 一 道 防线 ”， 例 如 ， 列 为 最 后 侧 的 
机 制 。 

2) exp=domain_ name: 解释 ， 它 定义 这 样 的 域 ， 当 一 种 机 制 匹配 失败 时 ， 必 须 
为 其 完成 一 条 TXT 记录 查找 ， 以 便 将 字符 串 表 示 为 结果 。 

(4) 宏 。 从 技术 角度 来 看 ， 上 述 机 制 中 的 任何 一 种 机 制 和 修饰 符 的 domain _ 
name 都 不 需要 一 个 显 式 定 义 的 〈 硬 编码 的 ) R, 但 可 使 用 宏 定 义 一 个 域 ， 以 便 基于 
正 被 评估 的 消息 信封 形成 一 个 域名 。 即 使 正 由 处 理 一 个 exp 修饰 符 得 到 的 TXT 记录 ， 
也 可 用 于 宏 。 使 用 百 分 号 (% ) 识别 宏 。 如 下 宏 已 被 定义 。 

1) % {s} = 发 送 者 的 电子 邮件 地 址 。 

2) % {1} = 发 送 者 的 电子 邮件 地 址 的 本 地 部 分 。 

3) % {ol = 发 送 者 的 电子 邮件 地 址 的 域 。 

4) % {dj} = 当前 域 ， 通 常 与 发 送 者 的 域 相同 ， 但 也 可 能 通过 include ML iil (A 
如 ) 已 被 处 理 。 

5) % {i} = 消息 发 送 者 的 源 IP 地 址 。 

6) % ip} = 通过 对 消息 发 送 者 的 源 IP 地 址 的 PTR ER, 经 过 验证 的 域名 。 

7) Piv) = 文字 字符 串 ， 如 果 源 IP 地 址 是 一 个 IPv4 地 址 ， 为 “in-addr”， 如 果 
源 IP 地 址 是 IPv6， 则 是 “ip6”。 

8) % |h} =HELO/EHLO 身份 的 域 部 分 。 

9) %% = 就 是 % (AS). 

10) %_ = 空格 “”。 

11) %- = 一 个 URL 编码 的 空格 ,例如 “%20”。 

如 下 宏 可 用 于 TXT 记录 ,可 由 一 个 exp 机 制 索 引 使 用 , 但 也 可 能 没有 其 他 地 
方 使 用 。 

1) % |c} =SMTP 客户 端 IP 地 址 。 

2) % {r} = 实施 SPF 检查 的 主机 的 域名 。 

3) % {t} = HATETE ER. 

宏 变 换 器 可 利用 一 个 宏 的 结果 的 一 个 子 集 (例如 ， 通 过 确定 域名 标签 的 一 个 整 


% 10% DNS 应 用 和 资源 记录 167 





型 量 ) 或 一 个 宕 结果 的 反 向 结果 (例如 将 一 个 IP 地 址 反 向 ) 。 反 向 做 法 即将 一 个 z 加 
入 到 宏 的 大 括号 (1}) 之 中 。 

(5) 宏 的 范例 。 考 虑 图 10-3 的 例子 ， 其 中 迈克 (mike@ ipamww. com) 向 我 的 
tim@ ipamworldwide. com (在 卫 地 址 为 192. 0. 2. 32 的 SMTP 主机 上 ) 发 送 一 封 电子 邮 
件 。 使 用 来 自 该 图 的 这 个 信息 和 其 他 信息 ， 我 们 可 将 这 个 电子 邮件 传输 的 宏 值 定 
义 为 。 


1) % |s} = mike@ ipamww. com, 
2) % |l} = mike, 

3) % {0} =ipamww. com, 

4) % {d} =ipamww. com, 


5) % {d3} =ipamww. com, 

6) % {d2} =ipamww. com, 

7) % {idl} =com, 

8) % {i} =192.0. 2. 32, 

9) % {ir} =32.2.0.192, 

10) %{v} =in-addr, 

11) % |h} =ipamww. com, 

12) %{ir}.% {v} ._ spf.% {d} =32.2.0.192. in-addr. _ spf. ipamww. com, 

SPF 为 您 的 组 织 机 构 以 不 同 粒度 表示 电子 邮件 策略 ， 提 供 了 一 种 强大 的 宏 语言 。 
但 是 ， 它 是 一 个 试验 性 的 协议 ， 可 以 将 它 看 做 Sender ID 的 一 个 近亲 党 兄弟 。 


10.3.4 发 送 者 ID 


识别 可 能 是 垃圾 电子 邮件 的 另 一 种 试验 性 机 制 ， 被 称 作 发 送 者 ID (Sender ID) 。 
REF ID 机 制 寻求 来 自给 定 源 IP 地址 处 一 个 给 定 SMTP 的 一 封 给 定 电子 邮件 ， 是否 
是 得 到 授权 发 送 该 电子 邮件 的 。 像 SPF 一 样 ， 发 送 者 ID 可 依据 MAIL FROM 字段 ， 检 
验 电子 邮件 消息 的 发 送 者 、 发 送 者 域 和 源 P 地 址 。 与 SPF 不 同 的 是 ， 发 送 者 ID 依据 
消息 首部 信息 ， 也 验证 〈 或 以 替代 方式 ) 发 送 者 和 发 送 者 域 。 发 送 者 ID 与 SPF 相似 
的 是 ， 它 利用 了 SPF 资源 记录 类 型 ， 如 前 一 节 所 定义 的 情形 ， 但 作 了 一 些 修改 。 

1) 版 本 字符 串 (“v=spfl”) 替换 为 “spf2.0 。 

2) 发 送 者 ID 包括 记录 的 一 个 范围 : “mfrom” 和 在 SPF 一 样 ， 指 明 mailfrom 实 
体 ， 并 /或 “pra” 表 明 “ 所 指 的 负责 地 址 ”( 下 面 讨 论 ) 。 

3) 从 SPF 定义 中 扩展 得 到 修饰 符 ， 这 支持 位 置 上 下 文 ， 作 为 SPF 定义 的 全 局 上 
下 文 的 一 种 蔡 代 上 下 文 。 即 ， 一 个 修饰 符 可 影响 前 面 的 机 制 ， 这 不 像 SPF， 在 SPF 中 
一 个 修饰 符 总 是 可 全 局 施用 的 。 

范围 字段 被 用 来 推 知 发 送 者 和 发 送 者 域 ， 以 便 进 行 验证 ( 即 MAIL FROM 实体 和 
/或 PRA) 。 所 指 的 负责 地 址 PRA ， 是 与 最 接近 于 接收 者 电子 邮件 系统 的 发 送 者 身份 
有 关 的 范围 。PRA 算法 检查 消息 首部 (而 不 是 信封 ) ， 并 查找 一 个 发 送 者 地 址 ， 方 法 
是 按 顺 序 检查 如 下 首部 ， 取 所 发 现 的 第 一 个 地 址 。 
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1) Resent-Sender ( 重 发 -发 送 者 ) 首部 。 

2) Resent-From ( 重 发 -来 源 ) 首部 。 

3) Sender (发 送 者 ) 首部 。 

4) From (来 源 ) 首部 。 

在 这 些 首 部 之 中 发 现 的 单一 有 效 发 送 者 邮箱 地 址 ( 即 mailbox@ maildomain 的 形 
式 ) 是 PRA。 在 如 图 10-3 和 10-4 所 示 的 简单 情形 中 ， 所 指 的 负责 地 址 将 是 mike@ 
ipamww. com， 是 从 “From” 首 部 值 中 推算 得 到 的 。 一 个 第 三 方 被 用 来 代表 一 个 合法 
的 发 送 者 来 传输 电子 邮件 ,在 这 种 情形 中 ， 将 使 用 “Resent-From” 或 其 他 首部 值 。 
使 用 术语 “所 指 的 ”， 原 因 是 该 算法 依赖 于 消息 首部 中 提供 的 信息 ， 而 消息 首部 是 由 
发 送 者 提供 的 。 

围绕 发 送 者 ID 和 SPF 的 使 用 ， 存 在 些微 争论 ， 这 就 是 这 两 种 技术 都 注定 为 试验 
性 的 方法 的 原因 。 例 如 ， 发 送 者 ID XR} “v=spfl” (SPF) 记录 的 处 理 可 得 到 注定 为 垃 
圾 邮件 的 有 效 消 息 。 我 们 希望 ， 在 未 来 可 得 到 一 种 一 致 的 统一 方法 。 


10.3.5 域名 密 钥 可 识别 的 邮件 


域名 密 钥 可 识别 的 邮件 (DKIM) 指定 了 为 电子 邮件 发 送 者 以 密码 学 方式 对 一 封 
电子 邮件 消息 进行 签名 的 一 种 方法 ， 以 便 使 接收 者 通过 发 送 者 的 域 密 钥 的 检索 和 应 
用 ， 在 接收 到 邮件 消息 时 可 对 它 进行 验证 。DKIM 利用 数字 签名 (使 一 个 给 定 的 数据 
集合 〈 在 这 种 情形 中 是 一 条 电子 邮件 消息 ) 能 够 对 数据 签名 ， 从 而 使 那些 接收 到 的 
数据 和 签名 ， 使 用 一 个 对 应 的 公开 密 钥 ， 可 对 签名 实施 解密 ) ， 可 实施 数据 源 发 地 和 
完整 性 验证 。DKIM 采用 一 种 非 对 称 密 钥 对 (私有 密 钥 /公开 密 钥 ) 模型 。 在 这 样 一 
种 模型 中 ， 电 子 邮 件 消 息 和 选中 的 首部 字段 采用 一 个 私有 密 钥 进 行 加 密 ， 并 可 使 用 对 
应 的 公开 密 钥 对 数据 解密 ， 来 实施 验证 。 私 有 密 钥 和 公开 密 钥 形成 一 个 密 钥 对 。 数 学 
方面 的 细节 是 非常 复杂 的 ， 但 从 概念 上 来 说 ， 私 有 /公开 密 钥 对 ， 为 公开 密 钥 的 持 有 
者 提供 了 验证 数据 是 使 用 对 应 私有 密 钥 签名 的 一 种 方法 。 这 就 提供 了 所 验证 数据 确实 
是 由 私有 密 钥 的 持 有 者 签名 的 认证 过 程 。 数 字 签 名 也 支持 所 接收 数据 匹配 发 布 的 数据 
且 在 中 转 过 程 中 没有 被 自 改 的 验证 。 

参见 图 10-5， 数 据 源 发 者 ， 如 图 左 侧 所 示 ， 产 生 一 个 私有 密 钥 /公开 密 钥 对 ， 并 
利用 私有 密 钥 对 数据 签名 。 对 数据 签名 的 第 一 步 是 产生 该 数据 的 一 个 散 列 值 ， 有 时 也 
称 其 为 一 个 摘要 。 散 列 函 数 是 单 向 函数 ” ， 为 了 更 简单 的 操作 ， 将 数据 加 扰 为 一 个 固 
定 长 度 的 字符 串 ， 并 代表 数据 的 一 个 “指纹 ”。 这 意味 着 极 不 可 能 会 出 现 另 一 个 数据 
输入 可 得 到 相同 散 列 值 的 情况 。 因 此 ， 经 常 将 散 列 值 用 作 校 验 和 ， 但 并 不 提供 任何 源 
发 认证 能 力 (知道 散 列 算法 的 任何 人 均 可 简单 地 对 任意 数据 进行 散 列 
运算 )。 常 见 的 散 列 算法 包括 HMAC-MD5、RSA-SHA-A 和 RSA-SHA-256。DKIM 不 
仅 默 认 情 况 下 使 用 RSA-SHA-256， 而 且 支 持 RSA-SHA-1。 使 用 私有 密 钥 对 散 列 值 进 





O ”一 个 单 向 函数 指 从 散 列 值 是 不 能 唯一 地 推算 得 到 原始 数据 的 人 们 可 使 用 一 个 算法 得 到 散 列 值 ， 
但 不 存在 这 样 的 反 向 算法 ， 可 对 散 列 值 实施 运算 得 到 原始 数据 。 
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行 加 密 ， 以 便 得 到 签名 。 加 密 算法 的 输入 是 散 列 值 和 私有 密 铀 ， 可 产生 签名 。 


实施 签名 传输 验证 
oe 









AECL 


- 





图 10-5 数字 签名 产生 和 验证 的 过 程 


消息 及 其 关联 的 签名 被 传输 到 接收 者 。 定 义 了 一 个 新 的 电子 邮件 首部 字段 dkim- 
signature ， 用 来 存储 DKM 签名 ， 还 有 检索 公开 密 钥 的 信息 也 存储 在 该 字段 内 。 依 据 
前 边 我 们 对 SMTP 工作 原理 的 回顾 ， 您 可 能 会 想 ， 信 封 数据 的 修改 和 首部 的 插入 会 如 
何 影响 签名 。DKIM 提供 了 规范 化 的 一 种 “简单 的 ”或 严格 的 形式 和 一 种 “宽松 的 ” 
形式 。 简 单 形式 几乎 不 能 容忍 修改 ， 而 宽松 形式 可 允许 空格 替换 和 首部 行 回 绕 ， 而 不 
影响 签名 的 有 效 性 。 

(1) DKIM 签名 电子 邮件 首部 字段 。 接 收 者 必须 从 dkim-signature 首部 字段 中 抽 
取 签 名 。dkim-signature 字段 也 包含 如 下 信息 。 

1) DKM 版 本 (例如 v=1)。 

2) 用 来 产生 签名 的 算法 (例如 a = rsa-sha256)。 

3) 签名 (例如 b=dqdVx0fAK9... )。 

4) 规范 化 消息 体 的 散 列 值 (bh =7Dkw0eE35Jlkjexcmpol... ) o 

5) 规范 化 方法 (c =relaxed (宽松 的 ) ) 。 

6) 签名 的 域 标识 符 一 一 签名 实体 的 域 (例如 d = ipamworldwide. com) 。 

7) 用 户 或 代表 用 户 的 代理 ， 对 消息 实施 签名 (i = rooney@ ipamworldwide. com)。 

8) 在 域内 的 选择 器 或 密 钥 索引 (人 允许 每 个 域 可 有 多 个 密 钥 ， 这 在 密 钥 轮 换 和 更 
细 粒 度 的 签名 中 有 所 帮助 ) (例如 s= europe) 。 

9) 被 签名 首部 字段 的 枚 举 (例如 h=from: to; subject; date), 

10) 其 他 可 选 的 信息 ， 包 括 用 于 检索 公开 密 钥 的 查询 方法 。 默 认 (当前 唯一 的 ) 
查询 方法 q = dns/txt， 指 令 接 收 者 实施 查询 类 型 “txt” 的 一 条 DNS 查询 ， 检 索 对 应 于 
用 来 签名 消息 的 私有 密 钥 的 公开 密 钥 。 令 人 关注 的 另 一 个 可 选 字段 1=tag (标签 ) 提 
供 了 用 户 的 身份 或 代表 用 户 签名 消息 的 代理 的 身份 。 

(2) DKIM TXT 记录 。 使 用 查询 方法 q = dns/txt， 接 收 者 在 签名 域内 实施 一 条 
TXT 记录 的 一 次 DNS 查询 。 查 询 的 问题 节 是 这 样 形成 的 ， 将 选择 器 值 (s=), F 
符 串 “_ domainkey” 和 指定 的 签名 域 (d= 值 ) 串 接 。 使 用 例子 中 一 封 进 入 的 电子 
邮件 dkim-signature 字段 中 所 指定 的 s = europe 和 d = ipamworldwide. com, 将 发 出 查找 
europe. _ domainkey. ipamworldwide. com 的 一 条 TXT 查询 。 对 应 TXT 记录 的 RData 部 分 
包括 类 似 于 dkim-signature 字段 的 一 个 或 多 个 标签 。 

1) DKM 版 本 (v=DKIM1), 
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2) 密 钥 的 粒度 ， 如 果 是 指定 的 ， 则 必须 匹配 dkim-signature 首部 (g= * ) 中 用 
PRAM (i = ) 标志 的 本 地 部 分 。 

3) 所 接受 的 散 列 算 法 (可 能 是 多 个 算法 ) (例如 h = sha256) 。 

4) 密 钥 类 型 (k = rsa) 。 

5) 为 人 们 所 消费 (方便 人 们 阅读 ) 使 用 的 注释 (n =updated_ key), 

6) AFR (p= Dkjeijf8d98Kz... ) 。 

7) 服务 类 型 (s = email) 。 

8) 标志 ， 指 明 诸 如 dkim-signature 首部 中 i = 标签 间 的 符合 性 规则 、d = 域 标签 
(在 TXT 记录 中 编码 为 t=s) 以 及 这 个 域 是 否 正在 测试 DKIM (t=y)。 

唯一 必 备 的 标签 是 p 标签 ， 即 公开 密 钥 。 一 个 范例 TXT 记录 后 根 

europe. _ domainkey. ipamworldwide. com IN TXT 

(“v = DKIM1; p = Dkjeijf98Kz...” ) 

在 检索 公开 密 钥 时 ， 接 收 者 和 源 发 信者 一 样 ， 要 计算 所 接收 消息 体 的 一 个 散 列 
值 ， 并 对 首部 各 字段 签名 。 接 收 者 使 用 源 发 者 的 公开 密 钥 ， 对 所 接收 到 的 签名 使 用 散 
列 算法 。 这 种 解密 的 输出 是 源 发 数据 散 列 值 ， 将 其 与 接收 者 对 数据 所 计算 得 到 的 散 列 
值 进行 比较 。 如 果 这 两 者 匹配 ， 则 数据 没有 被 修改 ， 是 私有 密 钥 持 有 者 对 该 数据 签 
的 名 。 

如 果 进 入 电子 邮件 消息 包含 一 个 dkim-signature 首部 字段 ， 则 显然 的 是 ， 发 送 者 
正在 使 用 DKIM ， 并 对 该 消息 签 过 名 。 但 如 果 一 封 进入 的 电子 邮件 消息 没有 包含 一 个 
dkim-signature 首部 字段 ， 这 意味 着 发 送 者 没有 对 消息 签名 吗 ? 这 事实 上 可 能 为 一 名 
垃圾 邮件 (SPAM) 攻击 者 从 一 个 伪造 的 源 域 发 起 未 签名 电子 邮件 消息 打开 了 一 个 缺 
口 。DKIM 依赖 于 作者 域 签名 实践 (ADSP) 的 发 布 ， 该 ADSP 使 一 台 接 收 者 电子 邮件 
服务 器 能 够 确定 是 否 应 该 依据 策略 对 来 自 一 个 给 定 域 的 消息 进行 签名 ， 且 如 果 要 签名 
的 话 ， 由 谁 签名 以 及 带 有 哪些 签名 (可 能 有 多 个 签名 ) 。 

一 个 接收 者 确定 发 送 域 的 签名 实践 方法 是 发 出 查找 Qype = TXT 和 Qname = _ 
adsp. _ domainkey. signing- domain-identifier 的 一 条 查询 ， 其 中 signing- domain-identifie 
同样 是 d= 值 。 对 应 的 TXT 记录 指明 ， 来自 这 个 域 的 电子 邮件 是 总 是 被 签名 的 、 可 能 
被 签名 的 ， 总 被 签名 的 和 任何 未 签名 的 电子 邮件 应 该 被 丢弃 。 欲 了 解 更 多 细节 ， 请 参 
JL RFC 5617") 。 


10.3.6 历史 上 出 现 过 的 电子 邮件 资源 记录 类 型 


在 DNS 的 早期 日 子 里 ， 定 义 过 这 些 资源 记录 类 型 ， 目 前 不 再 使 用 。 我 们 将 它们 
列 在 这 里 ， 纯 粹 出 于 历史 意义 的 角度 。 

(1) MR 一 一 邮件 重 命名 记录 。MR 资源 记录 类 型 将 电子 邮件 转换 为 一 个 个 体 
(或 多 个 人 ， 每 个 人 一 条 MR 记录 ) 的 一 个 别名 或 列表 。 从 最 简单 的 含义 来 说 ， 它 提 
供 了 一 个 邮箱 名 的 一 个 别名 。 
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属 主 TTL 类 类 型 RData 
电子 邮箱 别名 | TTL | IN MR | 电子 邮箱 名 
cfo 86400 IN MR finance( 财务 ) 


(2) MB 一 一 邮箱 记录 。MB 记录 是 在 RFC 1035 中 定义 的 ， 并 支持 将 一 个 用 户 ID 
与 包含 该 用 户 电 子 邮箱 的 期 望 主机 关联 。 






RData 













邮箱 主机 名 





smtp. ipamworldwide. com 


(3) MG 一 一 邮件 组 成 员 记 录 。RFC 1035 定义 了 MG 资源 记录 ， 它 支持 将 电子 邮 
件 用 户 与 一 个 用 户 组 关联 。 







电子 邮件 组 名 
finance( 财务 ) 


(4) MINFO 一 一 邮箱 /邮件 列表 信息 。MINFO 记录 也 定义 在 RFC 1035 +}, BA 
是 提供 邮箱 和 邮件 列表 信息 。 它 提供 两 个 电子 邮箱 地 址 ， 一 个 用 于 请 求 加 入 邮件 列 
表 ， 另 一 个 用 于 报告 错误 。 










请 求 邮箱 ”错误 邮箱 


hostmaster majordomo 





邮箱 名 


newsalerts 














10.4 安全 应 用 


10.4.1 保障 名 字 解 析 的 安全 一 一 DNSSEC 资源 记录 类 型 


第 13 章 专门 用 来 讨论 DNS 安全 扩展 (DNSSEC) 话题 ， 所 以 在 本 章 内 出 于 完备 
性 考虑 ， 将 简单 汇总 一 下 DNSSEC 必 备 的 资源 记录 类 型 。 在 第 13 章 我 们 将 提供 DNS- 
SEC 的 全 部 上 下 文 和 描述 。 

(1) DNSKEY——DNS 密 钥 记 录 。DNSKEY 资源 记录 用 于 DNSSEC ， 用 来 发 布 在 
区 域 信息 上 验证 签名 所 用 的 公开 密 钥 。 服 务 器 使 用 一 个 私有 密 钥 ,在 一 个 区 域内 签名 
它 的 权威 资源 记录 集合 ， 对 应 的 公开 密 钥 则 以 DNSKEY 记录 形式 在 区 域 文件 中 发 布 。 
发 布 两 种 类 型 的 密 钥 : 一 个 区 域 签名 密 钥 (ZS) ( 它 签名 资源 记录 数据 ) 和 一 个 密 
钥 签 名 密 钥 (KSK) (对 ZSK 签名 ) 。 解 析 器 可 使 用 这 个 公开 密 钥 来 验证 一 个 给 定 的 
RRSet 的 签名 。 
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类 型 RData 





RAZ DNSKEY 标志 协议 算法 RA 








ipamww. com. DNSKEY 


256 3 5 AweE8F( le- 


在 这 个 例子 中 ，RData 字段 解释 如 下 。 

1) 标志 字段 提供 有 关 密 钥 的 类 型 和 状态 。 当 前 为 标志 字段 定义 的 值 如 下 。 

QD bit7。 这 个 密 钥 是 一 个 区 域 签 名 密 钥 (十 进 制 =256) 。 

@ bitg 。 撤 销 这 个 密 钥 。 

© bitl5 。 这 个 密 钥 是 一 个 密 钥 签名 密 钥 (十 进 制 =1) 。 

@ 其 他 bit。 未 指派 。 

2) 该 协议 字段 必须 有 值 “3”， 指 明 是 DNSSEC (这 是 当前 定义 的 唯一 一 个 值 ) 。 

3) 在 上 例 中 算法 字段 有 一 个 值 “5”， 指 明 RSA-SHA-1 算法 。 当 前 支持 的 算法 
编码 如 下 。 

® {Ë =1, RSA/MD5, 依据 RFC 4034， 不 建议 使 用 。 

© 值 =2。Diffie-Hellman。 

®© ffi =3, DSA°/SHA-1, 

@ (8 =4。 为 椭圆 曲线 保留 。 

© 值 =5。RSA-SHA-1， 依据 RFC 4034， 这 是 必须 支持 的 。 

© 值 =6。DSA-NSEC3-SHA-1 一 一 算法 3 的 一 个 别名 ， 但 带 有 NSEC3 记录 (而 
不 是 NSEC 记录 ) 使 用 的 标识 符 。 

@ 值 =7。RSA-SHA-1-NSEC3-SHA-1 一 一 算法 5 的 一 个 别名 ， 但 带 有 NSEC3 记 
录 (而 不 是 NSEC 记录 ) 使 用 的 标识 符 。 

值 =8。RSA-SHA-256。 

© 值 =10。RSA-SHA-256。 

@ 值 =12。GOST R 34. 10-2001, 

D 值 =252。 间 接 的 。 

D ff =253-254, MAW. 

® fH =0, 123-251, 255, 保留 的 。 

D 其 他 值 。 未 指派 的 。 

4) 密 钥 字 段 是 公开 密 钥 。 

(2) DS 一 一 委派 的 签名 人 记录 。RFC 4034™ 定义 了 DS 资源 记录 类 型 ， 它 本 质 
上 将 信任 链 扩展 到 一 个 签 过 名 的 委托 域 (区 域 ) DS 资源 记录 使 一 个 父 区 域 可 认证 
它 的 子 区 域 的 公开 密 钥 签 名 密 钥 (KSK 的 DNSKEY 记录 )。 如 此 ， 则 每 个 DS 记录 指 
向 委托 子 区 域 中 的 一 个 特定 〈 由 密 钥 标 签 指明 ) DNSKEY 资源 记录 。 认 证 DS 记录 使 
各 客户 端 可 认证 子 区 域 的 DNSKEY 。 


O DSA = 美国 政府 数字 签名 算法 
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RData 
密 钥 标签 ”算法 类 型 摘要 
32284 5 1 75CF28D30Q35... 








算法 字段 识别 在 对 应 DNSKEY 记录 上 的 算法 字段 。 通 过 在 摘要 记录 中 包括 DNS- 
KEY RR 的 一 个 摘要 〈 散 列 函数 ) DS 记录 指向 一 个 DNSKEY 记录 ; [WE] 类 型 字 
段 指 明 用 来 构造 摘要 的 算法 。 

(3) DLV——DNSSEC 4%#¢ (lookaside) 验证 记录 。 在 RFC 4431" 中 规范 定义 ， 
DLV 资源 记录 用 在 DNSSEC 内 ， 用 于 在 正常 的 DNS 域 树 层次 结构 〈 即 信任 链 ) 之 外 
发 布 信任 锚 点 。DLYV 记录 是 结构 上 等 同 于 DS 记录 的 ， 这 是 指 它 识 别 一 个 “代理 的 父 
区 域 "， 且 由 此 认证 该 “ 子 ” 区 域 的 公开 密 钥 签名 密 钥 记录 (DNSKEY)。 旁 查验 证 
的 意图 是 在 没有 根 和 TLD 区 域 签名 的 情况 下 ,提供 一 种 替代 的 上 行 信 任 锚 点 ， 例 
如 dlv. isc. org。 











属 主 TIL 类 类 型 RData 
DLV i TTL IN DLV | 密 钥 标签 算法 类 型 摘要 
ipamww. com. dlv_reg. net 86400 IN DLV 32284 5 1 90df80DF89ILe. . . 


(4) NSEC 一 一 下 一 个 安全 记录 。NSEC 资源 记录 类 型 提供 两 个 信息 集合 。 在 一 
个 区 域 中 的 NSEC RR 集合 形成 该 区 域 中 权威 属 主 名 的 一 个 链 ， 并 指明 在 该 区 域 中 存 
在 哪些 权威 的 RRSet。NSEC 资源 记录 包含 下 一 个 属 主 名 (识别 在 该 链 内 的 关联 权威 
属 主 名 ) 和 NSEC 资源 记录 的 属 主 名 下 存在 的 RR 类 型 集合 。 






RData 
下 一 个 RRSet 属 主 类 型 比特 映射 
ns2. ipamww. com. A NS RRSIG NSEC 






BE 
RRSet 属 主 











nsl. ipamww. com. 


下 一 个 RRSet 属 主 字段 包含 以 区 域 规范 顺序 排列 的 下 一 个 属 主 名 〈( 它 有 权威 数 
据 ) ， 或 包含 定义 一 个 委托 点 的 一 个 类 型 NS 的 RRSet。 这 在 NSEC 属 主 字 段 内 已 识别 
RRSet 和 下 一 RRSet 属 主 RData 字段 之 间 资 源 记 录 存 在 性 的 已 认证 否定 结果 。 类 型 比 
特 映射 字段 识别 存在 于 这 个 NSEC 资源 记录 属 主 名 下 的 资源 记录 类 型 。 在 这 个 字段 
内 ， 如 果 一 个 bit =1， 那 么 对 应 于 这 个 bit 号 的 RRType 就 是 存在 的 。 因 此 如 果 bitl 为 
1， 则 对 应 于 RRType =1 或 A 记录 ,那么 就 存在 一 个 A RRSet。 幸 运 的 是 ， 这 个 内 容 
的 文本 表示 位 于 人 们 熟悉 的 资源 记录 类 型 助 记 符 范围 内 。 

(5) NSEC3——NSEC3 记录 。NSEC 资源 记录 提供 了 对 RRSet 存在 性 的 经 过 认证 
的 拒绝 答复 ,但 它 也 支持 轻易 将 区 域 中 RRSet 枚 举 出 来 ， 这 被 认为 是 一 个 信息 安全 风 
险 。 换 句 话 说 ， 一 名 好 奇 的 或 恶意 的 查询 者 可 尝试 解析 一 个 伪造 的 名 字 ， 并 接收 到 包 
含 被 查询 主机 名 的 资源 记录 属 主 名 列表 。 

像 NSEC 一 样 NSEC3 记录 提供 经 过 认证 的 RRSet 存在 性 拒绝 答复 ， 但 使 区 域 中 
的 RRSet 链 有 点 混乱 。 这 种 混乱 使 一 个 区 域 的 内 容 的 指纹 操作 ， 从 计算 角度 看 更 加 密 
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集 。NSEC3 并 不 指向 新 的 属 主 名 字段 ， 相 反 ， 它 指向 散 列 序 中 的 下 一 个 经 过 散 列 处 
理 的 属 主 名 字段 。 在 散 列 值 产生 之 前 添加 到 每 个 属 主 名 的 精 选 值 (salt value) EA 
尝试 对 区 域 进行 指纹 操作 ， 产 生 经 过 散 列 的 属 主 名 字 更 加 复杂 。 

对 于 区 域 中 的 每 个 RRSet， 使 用 可 施用 于 属 主 名 的 指定 散 列 算法 ， 对 属 主 字段 进 
行 散 列 处 理 ， 并 与 < Iterations (重复 次 数 ) > +1 次 的 salt ( 精 选 ) 字段 串 接 在 一 起 。 
如 下 伪 码 以 另 一 种 方式 对 此 进行 了 说 明 : 

x= | 与 精 选 值 串 接 的 RRSet 属 主 字段 | 

y=H(x) x 的 一 个 散 列 值 ,依据 前 面 语句 定义 的 算法 实施 计算 

for(i = 重复 值 ; i > 0;i-) | 

y = H (y) 






RData 
散 列 算法 标志 EAKA MAKE Me 


E BIKE 下 一 个 经 过 散 列 处 理 的 属 主 名 
类 型 比特 映射 










经 过 散 列 处 理 的 
RRSet 属 主 








02 8 a808f6cela950blc 18 k0Lse7… A RRSIG 
NSEC3 













NSEC3 记录 的 RData 字段 定义 如 下 : 

1) 散 列 算法 。 用 来 构造 散 列 值 的 算法 ; 有 效 值 是 

@ 保留 的 。 

@ 1 =RSA-SHA-1, 

@ 2~255。 未 指派 的 。 

2) 标志 。 由 一 组 8 个 布尔 标志 组 成 ， 标 志 字 段 目 前 有 一 个 已 定义 的 单一 标志 
(bit0) 。 如 果 bit0 被 设置 ， 则 这 表明 这 个 记录 涵盖 了 一 个 或 多 个 未 签名 的 委托 记录 。 
这 个 决定 退出 标志 使 保障 委托 安全 “退出 ”到 未 签名 的 区 域 ( 即 验证 一 个 子 区 域 的 
DS 记录 是 不 存在 的 ) 。 

3) 重复 。 指 定 散 列 函 数 的 附加 施用 次 数 。 

4) 精 选 长 度 。 包 括 在 传输 (wire) 格式 内 ,但 不 存在 于 资源 记录 文本 格式 内 ， 
这 个 字段 指明 以 字 节 表示 的 精 选 字段 长 度 (有 效 值 =0 ~255) 。 

5) 精 选 (Salt) 值 。 在 应 用 散 列 函数 之 前 ， 将 精 选 字段 的 值 附加 在 RRSet 之 后 ， 
并 以 不 区 分 大 小 写 的 十 六 进 制 方 式 表示 。 

6) 散 列 长 度 。 以 字 节 表示 的 下 一 个 经 散 列 处 理 过 的 属 主 名 字段 的 长 度 ， 包 括 传 
输 的 格式 ， 但 不 以 资源 记录 文本 格式 表示 。 

7) 下 一 个 经 散 列 处 理 过 的 属 主 名 。 

8) 类 型 比特 映射 。 这 个 字段 在 区 域内 为 这 个 属 主 定义 了 资源 记录 类 型 ， 并 以 
NSEC 记录 中 相应 字段 的 相同 形式 进行 编码 。 

(6) NSEC3PARAM——NSEC3 参数 记录 。NSEC3PARAM 记录 类 型 定义 了 计算 散 
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列 属 主 名 所 需 的 参数 以 及 区 域内 要 签名 的 对 应 NSEC3 记录 。 服 务 器 使 用 
NSEC3PARAM 记录 ,来 识别 对 一 条 查询 做 出 响应 的 否定 答案 。 由 此 ， 当 一 条 查询 到 
达 ， 要 查询 区 域内 一 条 不 存在 的 RRSet 时 ， 服 务 器 将 施用 NSEC3PARAM 参数 ， 对 被 
查询 的 属 主 名 进行 散 列 处 理 ， 目 的 是 提供 一 条 合适 的 NSEC3 响应 ， 即 这 条 被 查询 的 
属 主 名 落 在 哪 两 个 散 列 处 理 过 的 RRSet 之 间 ? 在 区 域 文件 内 应 该 仅 存 在 一 条 
NSEC3PARAM 记录 。 当 服务 器 自动 地 对 新 的 RRSet 或 改变 的 RRSet 签名 时 ， 服 务 器 
也 使 用 NSEC3PARAM 记录 。 

RData 字段 和 NSEC3 RData 字段 内 的 相应 字段 一 样 具有 相同 的 含义 。 

属 主 类 型 RData 

散 列 算法 标志 重复 次 数 ” 精 选 长 度 
精 选 值 


1 0 2 3 a808f6cela950b1 c 











(7) RRSIG 一 一 资源 记录 集 签名 记录 。 资 源 记 录 和 集 签名 资源 记录 包含 与 一 个 给 定 
RRSet 关联 的 数字 签名 。 这 个 签名 ， 与 区 域 的 公开 [KREA] 密 钥 一 起 ， 用 来 认证 
相应 的 RRSet 的 完整 性 和 来 源 。 





涵盖 类 型 算法 标签 ”原始 TTL 签名 超时 签 
名 开始 时 间 ” 密 钥 标 签 ” 签 名 者 ”签名 





RRSet 属 主 TTL 














A 5 3 86400 20080515133509 20080515133509 


ftpl. ipamww. com. 86400 
27783 ipamww. com. N78E::- 












RRSIG 记录 内 部 的 RData 字段 定义 如 下 : 

1) 涵盖 类 型 。 由 这 个 签名 所 签署 的 相应 属 主 和 类 的 资源 记录 类 型 。 这 个 字段 是 
本 章 通 篇 针对 资源 记录 所 讨论 的 标准 资源 记录 类 型 。 在 上 例 中 ，A (地 址 ) 资源 记录 
类 型 指明 ， 类 IN 的 带 有 名 字 = ftp]. ipamww. com (REFR) 的 一 条 记录 是 使 用 这 条 
RRSIG 记录 进行 签名 的 。 

2) 算法 。 出 于 与 所 接收 签名 的 比较 目的 ， 这 个 算法 用 于 产生 数据 的 散 列 值 。 这 
个 字段 以 DNSKEY 资源 记录 类 型 的 算法 字段 相同 的 方式 进行 编码 。 

3) 标签 。 指 明 标 签 数 量 。 回 顾 一 下 ,标签 是 指向 域名 的 文本 表示 的 ， 每 个 名 字 
“位 于 点 号 之 间 ” 都 有 一 个 标签 。 因 此 ，www. ipamworldwide. com 有 三 个 标签 。 这 个 
字段 用 来 重 构 原 始 属 主 名 ， 用 来 在 如 下 情形 中 产生 签名 ， 即 由 服务 器 返回 的 属 主 名 有 
一 个 通 配 标签 (* )。 

4) 原始 TTL。 在 权威 区 域 中 定义 的 签名 RRSet 的 TTL， 用 来 验证 一 个 签名 。 需 
要 这 个 字段 ， 原 因 是 在 原始 响应 中 返回 的 TTL 字段 ， 正常 情况 下 要 由 一 个 缓存 解析 
器 做 减 一 处 理 ， 使 用 那个 TTL 值 可 能 导致 错误 的 计算 。 

5) 签名 超时 。 这 个 签名 超时 时 的 日 期 和 时 间 ， 表 示 为 自 1970 年 1 月 1 日 00: 
00: 00 UTC 以 来 的 秒 数 ， 或 表示 为 YYYYMMDDHHmmSsSs 的 形式 ， 其 中 。 
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D YYYY 是 年 。 

@ MM 是 月 ,01 ~12。 

@ DD 是 月 中 的 日 期 ，01 ~31。 

@ HH 是 24h 表示 法 中 的 h，00 ~23。 

©) mm # min, 00 ~59。 

© SS Æ s, 00 ~59, 

@ 在 这 个 日 期 /时 间 之 后 ， 签 名 是 无 效 的 。 

6) 签名 开始 时 间 。 这 个 签名 开始 时 的 日 期 和 时 间 ， 其 格式 化 的 方法 与 签名 超时 
字段 的 方式 相同 。 在 这 个 日 期 /时 间 之 前 ， 签 名 是 无 效 的 。 

7) 密 钥 标签 。 提 供与 相应 DNSKEY 资源 记录 的 一 个 关联 ， 该 资源 记录 可 被 用 来 
验证 签名 。 

8) 签名 者 的 名 字 。 识 别 DNSKEY 资源 记录 的 属 主 名 〈 即 域名 ) ， 该 资源 记录 可 
被 用 来 验证 这 个 签名 。 

9) 签名 。 涵 盖 该 资源 记录 集 的 密码 学 签名 ， 资 源 记 录 集 合 由 这 个 RRSIG RE, 
类 所 定义 ， 包 括 类 型 字段 和 这 RRSIG RData 字段 (排除 这 个 签名 字段 ) 。 


10.4.2 其 他 面向 安全 的 DNS 资源 记录 类 型 


(1) TA 一 一 信任 权威 记录 。 虽 然 不 存在 定义 TA 资源 记录 的 一 个 RFC， 但 IANA 
已 经 为 它 分 配 了 一 个 值 ， 所 以 我 们 在 这 里 描述 一 下 。TA 资源 记录 在 格式 上 与 DS 记 
录 类 型 的 格式 相同 ， 包 括 密 钥 标签 、 算 法 、 摘 要 类 型 和 摘要 的 RData 字段 。 使 用 TA 
记录 的 做 法 ， 使 一 个 解析 器 能 够 有 一 个 资源 记录 签名 ， 该 签名 由 一 个 已 知 的 信任 权威 
验证 ， 即 使 根 区 域 没 有 被 签名 的 情况 下 也 是 如 此 〈 它 现在 已 被 签名 ) 。 现 在 使 用 DLV 
记录 提供 这 个 功能 。 


(2) CERT 一 一 证 书记 录 。RFC 4398!" 定义 了 CERT 记录 ， 作 为 DNS 中 存储 证 





书 和 证 书 撤销 列表 (CRL) 的 一 种 方法 。 证 书 提供 了 识别 一 个 组 织 机 构 、 服 务 器 、 个 
人 或 其 他 实体 的 一 种 方式 ， 并 将 一 个 公开 密 钥 与 那个 身份 相关 联 。 公 开 密 钥 可 被 用 来 
认证 发 送 者 的 身份 ， 对 通信 进行 加 密 和 解密 ， 并 验证 消息 的 完整 性 。 证 书 是 层次 结构 
的 ， 并 可 被 用 来 到 一 个 已 知 信任 实体 (证 书 权威 ) 的 〈 关 系 ) 进行 验证 。CRL 是 证 
书 的 列表 ， 由 于 超时 或 人 工 撤销 ， 这 些 证 书 已 被 撤销 。 

包含 证 书 的 CERT 记录 被 存储 在 DNS 之 中 ， 使 解析 器 可 通过 DNS 得 到 证 书 ， 而 
不 是 从 一 个 目的 地 证 书 服务 器 处 得 到 证 书 。CERT 资源 记录 有 如 下 格式 。 






证 书 类 型 ” 密 钥 标签 算法 证书 或 CRL 
PGP 436 3 A4df480DFC91La. . . 






ipamww. com. 


当 在 该 记录 的 RData 部 分 包括 一 个 证 书 时 ， 属 主 字 段 识别 证 书 所 施用 的 实体 。 如 
果 一 个 CRL 被 包括 在 RData 节 中 ， 则 属 主 名 应 该 包含 与 发 行 权 威 有 关 的 域名 。RData 
部 分 包含 如 下 子 字段 。 
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1) 证 书 类 型 。 例 如 X. 509/PKIX、PGP 以 及 其 他 。 

2) 密 钥 标 签 。 用 来 加 速 到 那些 匹配 密 钥 标 签 的 相关 证 书 的 识别 过 程 。 

3) 算法 。 在 阐述 密 钥 中 使 用 的 算法 ， 它 以 DNSKEY 资源 记录 类 型 中 算法 字段 相 
同 的 方式 进行 编码 。 

4) 证 书 或 CRL。 

(3) IPSECKEY 一 一 IPSec 记录 的 公开 密 钥 。 在 RFC 4025 中 定义 的 IPSECKEY 
资源 记录 类 型 ， 提 供 了 一 种 在 DNS 中 存储 一 个 公开 密 钥 的 方式 ， 该 密 钥 与 PSEC 一 
起 使 用 。 这 个 资源 记录 一 种 使 一 个 客户 端 能 够 寻求 与 一 台 远 端 主机 建立 一 条 IPSec 隧 
道 ， 用 来 识别 认证 该 远 端 主机 的 方式 ， 并 确定 是 与 该 主机 是 直接 连接 ， 或 通过 作为 一 
个 网 关 的 另 一 个 节点 进行 连接 。IPSECKEY 资源 记录 与 预期 远 端 主机 的 IP 地 址 或 主机 
域名 关联 。IP 地 址 被 存储 在 . arpa. reverse 域 空间 之 中 。IPSECKEY 资源 记录 的 格式 
如 下 。 


属 主 TTL 类 类 型 RData 













优先 级 ”网关 类 型 算法 MK 公开 
密 钥 


在 .arpa. 域 中 的 IP 
地 址 或 主机 域名 


TTL IN IPSECKEY 












1. 0. 12. 10. in- 


86400 IN IPSECKEY | 10 1 2 10. 100. 1.2 Adf4C91L... 











addr. arpa. 






RData 字段 包含 如 下 字段 。 

1) 优先 级 。 用 来 对 一 个 常见 RRSet 内 的 多 条 记录 确定 优先 级 ， 使 用 最 低 优 先 级 
优先 的 方法 。 

2) 网 关 类 型 。 指 明 网 关 字 段 的 格式 。 

QD 0 = 不 存在 网 关 。 

@ 1 =IPv4 地 址 。 

@ 2 = IPv6 地 址 。 

@ 3 =FQDN, 

3) 算法 。 公 开 密 钥 字 段 的 格式 。 

d 0 = 不 存在 密 钥 。 

@1=DSA 格式 的 密 钥 。 

© 2 = RSA 格式 的 密 钥 。 

4) 网 关 。 标 识 一 个 网 关 ， 为 了 到 达 远 端 主机 〈 由 属 主 字段 标识 ) 而 与 该 网 关 建 
立 一 条 IPSec 隧道 。 这 个 字段 的 解释 受到 网 关 类 型 字段 的 控制 。 

5) 公开 密 钥 。 所 产生 的 密 钥 ， 使 用 算法 字段 中 指定 的 算法 产生 。 

(4) KEY 一 一 密 钥 记录 。 密 钥 记 录 使 用 DNSSEC 的 初始 典型 〈incarnation) 加 以 
定义 ， 但 由 DNSKEY 资源 记录 取代 。 但 是 ， 在 DNSSECbis 发 布 之 前 ， 密 钥 记 录 也 被 
用 来 存储 与 SIG (0) 记录 关联 的 公开 密 铀 。 密 钥 记 录 与 DNSKEY 记录 具有 相同 的 
格式 。 
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RData 
标志 协议 算法 密 钥 
256 3 1 12S9X-weE8F( le... 



















K3941. ipamww. com. 


(5) KX 一 一 密 铀 交换 器 记录 。KX 记录 支持 一 个 中 介 的 指定 ， 它 可 代表 另 一 台 
主机 提供 一 个 密 钥 。 换 名 话说， 如 果 打 算 与 x ipamworldwide. com 进行 密 钥 协商 ， 则 
KX 记录 可 指向 y ipamworldwide. com 主机 域名 ， 应 该 与 其 进行 密 钥 交换 协商 。 一 个 优 
先 级 字段 支持 多 个 替代 域 的 指定 ， 它 们 具有 进行 密 钥 协商 的 不 同 优先 级 。 










RData 
优先 级 密 钥 交 换 器 主机 域名 


10 y. ipamworldwide. com. 








主机 域名 


x. ipamworldwide. com. 


















x. ipamworldwide. com. 20 z. ipamworldwide. com. 





(6) SIG 一 一 签名 记录 。 在 DNSSEC 范围 内 ， 由 RRSIG 记录 取代 SIC 资源 记录 ， 
但 在 DNSSEC 范围 之 外 ，SIG 记录 仍然 用 于 数字 化 地 签名 DNS 更 新 和 区 域 传递 。 即 ， 
您 不 需要 部 署 DNSSEC 来 支持 更 新 和 区 域 传递 的 事务 签名 。 这 种 事务 可 通过 TSIG 
(事务 签名 ) 记录 使 用 共享 的 秘密 密 钥 进行 签名 ， 或 通过 SIC (0) 使 用 私有 /公开 密 
钥 进行 签名 ， 在 后 一 种 方法 中 对 应 的 公开 密 钥 被 存储 为 KEY (H) 记录 。SIG (0) 
表示 法 指使 用 带 有 一 个 空 (0) 类 型 涵盖 字段 的 SIG 资源 记录 。 在 这 样 的 情形 下 ， 
RFC 2931 (118) 建议 将 属 主 字段 设置 为 根 、TTL 设置 为 0、 类 设置 为 ANY， 如 下 例 
所 示 。 

SIG 记录 的 格式 等 同 于 RRSIG 记录 的 格式 ， 例 外 是 超时 日 期 和 开始 日 期 字段 的 格 
式 有 所 不 同 ; 对 于 SIG 记录 ， 这 些 字 段 不 是 依据 RRSIG 记录 的 日 期 格式 的 ， 相 反 将 
其 格式 定 为 一 个 递增 的 整数 ， 列 举 自 1970 年 1 月 1 日 00: 00; 00 UTC 以 来 的 秒 数 。 
这 个 计数 器 将 会 返回 到 0， 并 在 计数 器 超过 42.9 亿 秒 (136 年 多 一 点 ) 之 后 ， 继 续 
计数 。 





RData 













涵盖 类 型 算法 标签 ”原始 TTL 签名 超时 签名 开始 


RRSe 
secs 密 铀 标签 ”签名 者 “签名 


IN SIC 





0 3 3 86400 20080515133509 20080515133509 26421 ipam- 


ww. com. Zx9v... 












(7) SSHFP 一 一 安全 的 Shell (外 壳 ) 指纹 记录 。 安 全 的 外 壳 (SSH) 协议 支持 
在 一 个 不 安全 的 IP 网 络 上 ， 从 一 台 客 户 端 到 一 台 服 务 器 和 其 他 安全 网 络 服务 的 安全 
登录 。 链 接 的 安全 性 依赖 于 用 户 向 服务 器 认证 他 或 她 自己 ， 以 及 服务 器 向 客户 端 认证 . 
服务 器 自己 ,使 用 的 是 Diffie-Hellman 密 钥 交换 。 如 果 客 户 端 还 不 知道 公开 密 钥 ， 则 
为 了 验证 用 户 ， 服 务 器 提供 密 钥 的 一 个 指纹 。 在 DNS 中 存储 这 个 密 钥 指纹 ， 为 客户 
端 通过 一 个 “第 三 方 ”以 带 外 方式 查找 并 验证 指纹 ， 提 供 了 一 种 方法 。 查 找 要 求 使 
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用 DNSSEC， 来 保障 查找 过 程 的 安全 ， 并 确保 消息 完整 性 。SSHFP 资源 记录 是 用 来 存 
储 这 些 SSH 指纹 的 记录 类 型 。 





RData 


算法 指纹 类 型 ”指纹 
2 1 8Fd7q90Dtfd. . . 
















SSHFP 记录 的 RData 部 分 包括 如 下 字段 。 
1) 算法 。 当 前 定义 的 值 如 下 。 

© 0 = 保留 的 。 

© 1=RSA, 

@ 2=DSA, 

2) 指纹 类 型 。 当 前 定义 的 值 如 下 。 

@ 0 = 保留 的 。 

@ 1 =SHA-1, 

3) 密 钥 指 纹 。 


10.4.3 地理 定位 查找 


(1) GP0S 一 一 地 理 位 置 记录 。 最 初 在 RFC 1712" 中 定义 的 GPOS 资源 记录 类 
MW, GAR LOC 资源 记录 类 型 所 替代 。GPOS 对 一 台 主 机 的 经 度 、 纬 度 和 高 度 编码 ， 
如 下 所 示 。 






经 度 纬度 高 度 
39. 582 -75. 801 128. 2 


















srvl. ipamww. com. 





(2) LOC 一 一 定位 资源 记录 。 这 种 类 型 的 资源 记录 支持 对 相应 主机 的 经 度 、 纬 度 
和 高 度 信息 进行 编码 。RFC 1876 @ YT LOC 记录 ， 这 就 废弃 了 CPOS 资源 记录 类 
型 。LOC 记录 的 RData 字段 给 出 了 三 个 维度 中 的 每 个 坐标 。 

[ee SN a S 

2) Bee Pet Oe a we 

3) 高 度 。 以 m 为 单位 的 高 度 。 

4) 每 个 测度 的 准确 度 ， 以 m 为 单位 的 “误差 球面 ”的 直径 。 






RData 










纬度 ”经度 高 度 准确 度 





3958 N 7538 W 128 50m 





在 上 面 的 例子 中 ， 主 机 名 为 srv-97. ipawmww. com 的 机 器 位 于 北纬 39°58'、 西 经 
75"38'， 海 拔 128m 处 ， 精 确 度 都 在 直径 为 50m 的 误差 球面 内 。 
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10.4.4 4E IP 主机 地 址 查找 


(1) ISDN 一 一 综合 业务 数字 网 记录 (试验 型 的 ) 。 该 ISDN 类 型 支持 将 一 个 ISDN 
地 址 与 一 台 主 机 关联 。ISDN 地 址 的 形式 为 一 个 电话 号 码 ， 由 国际 电信 联盟 标准 
E. 164 定义 。 子 地 址 字段 是 可 选 的 。 






ISDN 地 址 子 地址 
16105551298 318 















isdnhost. ipamww. com. 


(2) NSAP 一 一 网 络 业务 接 人 点 记录 。NSAP 资源 记录 支持 将 一 个 主机 名 或 FQDN 
翻译 为 一 个 网 络 业务 接 人 点 (NSAP) 地 址 。NSAP 是 一 台 网 络 设备 的 表示 法 ， 该 设 
备 支持 ISO 无 连接 网 络 协议 (CLNP)。 不 需要 了 解 NSAP 地 址 的 细节 ， 这 种 地 址 从 来 
就 没有 真正 被 人 们 所 理解 ，NSAP 资源 记录 的 功能 等 价 于 IPv4 的 一 个 A 记录 和 IPv6 
的 AAAA 记录 。 它 为 一 个 被 查询 的 主机 名 提供 一 个 目的 地 址 。 






RData 
NSAP 地 址 
47. 0005. 09. d78d01. 1010. Offe. 0011... 00 










saoo NSAP 


(3) NSAP-PTR 一 一 网 络 业务 接 入 点 反 向 记录 。NSAP-PTR 记录 类 型 执行 NSAP 
地 址 的 等 价 指针 记录 功能 ， 它 将 一 个 NSAP 地 址 后 缀 链接 到 一 个 主机 域名 。nsap. int 
域 作为 相应 反 向 TLD。 就 和 基于 IP 地 址 的 指针 记录 一 样 ，NSAP 地 址 必须 被 反 向 ， 在 
每 个 数字 之 间 插 入 点 号 。 最 后 ， 添 加 nsap. int. GR. 


Cm [= | a 
isan 





nsap- host. ipamww. com. 
















被 反 向 的 NSAP 地 址 主机 域名 






0.0...1.1.0.0.e££0.0.1.0.1.1.0.d.8.7.d.9. 
0. 5. 0. 0. 0. 7. 4. nsap. int. 


Nsap- 






host. ipamww. com 





(4) PX 一 一 X. 400 的 指针 。PX 资源 记录 是 在 RFC 2163 中 定义 的 ， 意 图 是 在 
DNS 域名 和 一 个 X. 400 地 址 之 间 提 供 一 个 映射 ， 用 于 电子 邮件 地 址 映射 。X. 400 是 消 
息 通信 或 电子 邮件 的 一 个 0SI 标 准 ， 但 如 今 多 数 系统 都 使 用 简单 邮件 传递 协议 。 这 个 
资源 记录 类 型 用 于 包含 SMTP 到 X. 400 电子 邮件 网 关 的 网 络 ， 该 网 关 也 被 称 作 MIXER 
(MIME 因特网 X. 400 增强 型 中 继 ) 网 关 。 使 用 源 发 者 /接收 者 (O/R) 惯例 形成 
X. 400 地 址 。 






优先 级 DNS 域 X. 400 映射 
10 ipamww. com. O = company. PRMDnetx. ADMD. C = tv. 









ipamww. com. 


(5) X25 一 一 X.25 PSDN 地 址 记录 (试验 型 的 ) 。 这 是 一 个 试验 型 的 资源 记录 且 
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没有 被 广泛 使 用 ， 原 因 是 X. 25 报 文 交换 数据 网 络 (PSDN) 如 今 没 有 被 广泛 使 用 。 
它 具 有 许多 可 能 应 用 。 

1) 记录 在 全 到 X.25 和 SMTP 到 X.25 的 静态 配置 中 所 用 的 地 址 。 

2) 自动 地 将 一 个 地 址 与 PSDN 地 址 相关 联 。 

3) 将 名 字 配 置 到 X.25 PSDN 地 址 。 

它 也 为 广 域 非 广播 网 络 提供 了 一 项 类 似 ARP 的 功能 。 








属 主 TTL 类 类 型 RData 
主机 域名 | TTL | IN | X25 | PSDN 地 址 
x25-host. ipamww. com 86400 IN X25 31161700956 


(6) RT 一 一 路 由 通过 。 路 由 通过 资源 记录 是 在 RFC 1183 中 定义 的 ， 并 被 用 
于 指明 一 个 代理 或 替代 目的 地 ， 在 没有 一 条 直接 网 络 链 路 条 件 下 ， 将 主机 的 流量 路 由 
到 该 代理 或 替代 目的 地 。 可 识别 确定 多 个 路 由 通过 主机 ， 每 个 都 带 有 关联 的 优先 级 
值 ， 这 很 像 MX 资源 记录 。 








属 主 TTL 类 类 型 RData 
主机 域名 TTL | IN RT 优先 级 代理 主机 名 
host. ipamww. com. 86400 IN RT 10 proxy. ipamww. com. 


10.4.5 Null 记录 类 型 


NULL ( 空 ) 资源 记录 类 型 是 试验 型 的 ， 并 支持 指定 多 达 65535B 的 “任何 东 
西 ”。 通 常 它 是 可 被 忽略 的 ， 且 不 被 广泛 使 用 。 










RData 
多 达 65535 个 字 节 的 “任何 东西 ” 


“Ignore this NULL resource record!” (忽略 这 条 
NULL 资源 记录 ) 









10.5 试验 型 的 名 字 - 地 址 查找 记录 


10. 5.1 IPv6 地 址 链 一 一 A6 记录 (试验 型 的 ) 


考虑 到 IPv6 地 址 的 绝对 (sheer) KÆ, IETF 考虑 了 将 主机 名 解析 到 IPv6 地 址 的 
一 种 迭代 方法 。 在 RFC 2874521 中 定义 的 A6 记录 ， 其 意图 是 将 一 个 主机 域名 映射 到 
一 个 IPv6 地 址 的 一 部 分 〈 或 所 有 部 分 ) ， 带 有 各 个 指针 ， 用 于 使 解析 器 和 迭代 地 将 IPv6 
地 址 的 剩余 部 分 解析 到 完整 的 128bit。 这 就 支持 了 主机 域名 的 解析 ， 方 法 是 从 最 常见 
的 接口 ID 开始 ， 之 后 添加 合适 的 子 网 ID 和 全 局 路 由 前 缀 ， 本 质 上 是 从 右 到 左 地 移 
动 ， 解 析 主 机 名 地 址 。 其 意图 是 简化 IPv6 网 络 的 重新 编 址 ， 由 于 网 络 维护 、ISP 变更 
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或 其 他 原因 ， 这 种 做 法 可 能 是 必要 的 。 为 许多 台 主 机 变更 子 网 ID 就 和 变更 一 条 记录 
一 样 简单 ， 所 以 不 用 改变 每 台 主 机 的 记录 。 

但 是 ， 由 于 以 合适 的 链接 关系 〈 并 防止 开放 的 链接 ) 而 准确 地 配置 DNS 的 复杂 
性 ， 这 条 记录 类 型 被 更 改 为 试验 状态 。 为 了 形象 地 说 明 这 点 ， 下 面 的 例子 形象 地 说 明 
AG 资源 记录 ， 并 说 明 后 续 的 三 条 查询 如 何 被 用 来 进行 完全 解析 。 注 意 ， 基 于 个 体 优 
先 级 ， 可 定义 更 多 的 或 更 少 的 链接 关系 。 

类 型 RData 
A6 前 级 长度 地 址 后 级 前 缀 名 
64 ::;AOSF:0:0:2001 


sf- net. ipamww. com. 














A6 64 0:0:0:8400:; na-west. ipamwwe. com. 











A6 48 2001 : DB8 :4AF0 : : 


TER AO 资源 记录 的 RData 部 分 包含 三 个 子 字 段 。 前 缀 长 度 指明 从 地 址 开始 到 开 
始 插入 地 址 后 缀 比特 这 段 范围 内 偏 移 比特 的 数量 。 因 此 ， 带 有 属 主 字段 “ftp- 
sf. ipamww. com. ”的 第 一 个 列 出 的 A6 记录 ， 指 明 一 个 64bit 的 前 缀 长 度 ， 指 定 了 接口 
标识 符 为 :: AOSF: 0: 0: 2001, 

前 缀 名 字段 提供 了 到 第 二 次 查找 的 一 个 链接 关系 ， 目 的 是 继续 构造 完整 的 128bit 
地 址 。 在 这 种 情形 中 ， 我 们 链接 到 “sf-net ipamww. com.” AA, ERMA RES 
Be “sf-net. ipamww. com. ”的 一 条 A6 记录 。 对 应 的 A6 记录 指明 带 有 IPv6 地 址 0: 0: 
0: 8400:: 的 一 个 48bit 前 缀 长度。 注意 这 里 使 用 了 完备 IPv6 地 址 表示 法 ， 它 包括 对 
单一 双 冒 号 的 约束 。 之 后 这 条 记录 指向 na-west. ipamww. com. A6 记录 ， 这 就 以 零 偏 移 
针对 解析 完成 了 我 们 的 IPv6 地 址 构成 。 图 10-6 形象 地 说 明了 这 个 过 程 。 


A0SF O000 0000 2001 


48bit 849000000 0000 0000 6000 


ODBS4AEF00000 0000};0000 00060000 





0D BSE 4+ AFO 8 460 ADSE 000 OF 006 0 200 
图 10-6 使 用 AG 记录 ， 对 一 个 IPv6 地 址 的 迭代 推算 


10.5.2 APL 一 一 地 址 前 缀 列表 记录 (试验 型 的 ) 
A 和 AAAA 记录 是 用 来 解析 主机 IP 地 址 的 ， 而 APL 记录 寻求 解析 地 址 前 缀 或 子 
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网 地 址 。 如 下 例子 形象 地 说 明了 这 样 一 个 场景 ， 它 通告 与 一 个 域 或 主机 关联 的 一 个 地 
址 范围 集合 。APL 记录 的 RData 部 分 由 一 个 可 选 的 感叹 字符 (!) 、 地 址 族 (由 
IANA 定义 ) 后 跟 一 个 冒号 ， 之 后 是 CIDR 表示 (MA/MAKE) 组 成 。 







主机 域名 地 址 族 : 地 址 /前 缀 














1:10.0.128/18, ! 10. 16. 128.0/18 
2:2001:DB8:4AF0:8400;:/56 


sf- ftp. ipamww. com. 






10.6 资源 记录 小 结 


表 10-1 汇总 了 当前 定义 的 资源 记录 集合 ， 它 依据 资源 记录 类 型 的 字母 顺序 排列 





(RRType 一 一 当 一 个 查询 器 从 DNS 中 寻找 这 种 类 型 的 信息 时 ， 它 也 对 应 于 有 效 的 
QType， 即 在 一 条 DNS 消息 的 问题 节 内 ) 。 虽 然 不 是 所 有 的 资源 记录 都 是 IETF 标准 或 
甚至 定义 在 IETF 内 ， 但 这 些 资 源 记 录 的 多 数 记 录 都 由 IANA 指派 了 一 个 RR 类 型 ID 
号 ， 它 们 都 在 此 列 出 。 和 所 定义 文档 一 起 也 给 出 了 当前 的 IETF 状态 ， 可 获取 这 些 文 
档 以 便 了 解 更 多 细节 。 


表 10-1 资源 记录 和 查询 类 型 小 结 


RRType( 或 QType) | RR 目的 ( 即 RData 内 容 ) 定义 的 文档 





























A TAAA RFC 1035!) 
地 址 
AAAA Poe 草案 标准 RFC 35960123 
地 址 | 
一 个 给 定 主机 名 的 IPv6 
A6 地 址 或 迭代 IP v6 地 址 解析 试验 型 的 RFC 2874!” 
的 地 址 一 部 分 
一 个 给 定 AFS 和 DCE 域 108 
FSDB 试验 型 的 RFC 1183 
$ 的 服务 器 主机 名 
APL 一 个 给 定 域 的 地 址 前 级 试验 型 的 RFC 3123/14 
列表 
oh s 由 ATM 论坛 发 布 
or 一 台 主 机 的 异步 传递 模 没有 提交 的 AIM 名 字 系 统 
式 (ATM ) 地 址 规范 125] 
CERT 证 书 或 证 书 撤销 列表 标准 跟踪 RFC 4398/1161 








名 “地址 族 值 是 由 IANA 维护 的 , 见 http: //www. iana. org/assignments/address-family-numbers, +5 RAT 
的 例子 有 关 的 是 ，IANA 向 IPv4 指派 族 号 为 1、 向 IPv6 指派 族 号 为 2。 
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( 续 ) 
RRType( 或 QType) | RR 目的 ( 即 RData 内 容 ) RR 类 型 ID 定义 的 文档 
CNAME 一 台 主 机 的 主机 名 别名 5 标准 RFC 1035!%! 
将 一 个 DHCP 客户 端的 3 
DHCID 49 跟踪 RFC 4701 "16 
身份 与 一 个 DNS 名 关联 = 
= 一 个 信任 锚 点 的 权威 区 an 信息 型 的 AEE 
域 签名 (DNSSEC) 
DNAME 域名 别名 建议 标准 RFC 2672!107 
= S 
i 在 一 个 信任 链 内 的 权威 i 标准 跟踪 pee dant 
区 域 签名 (DNSSEC) 
标准 跟踪 a 
DS 被 委托 子 区 域 的 签名 (DNSSEC) RFC 4034 
RESERVED 
GID ID 102 IANA- 
> (保留 ) ie 
Eon 
GPOS 台 给 定 主机 的 纬度 /经 27 试验 型 的 RFC 171250129] 


度 / 高 度 一 一 由 LOC 替代 


一 台 CPU 和 OS 
HINFO 台 主 机 的 和 13 标准 RFC 1035/99! 
信息 
A 

















HIP 主机 身份 协议 55 试验 型 的 RFC 5205!1271 
一 个 给 定 DNS 名 的 公开 are 117) 
IPSECKEY $e nie 45 建议 标准 RFC 4025 
Ca 
一 台 给 定 主机 的 综合 业 
ISDN 务 数字 网 (ISDN ) 地 址 和 子 20 试验 型 的 RFC 11830108] 
地 址 


在 DNSSEC 内 由 DNS- 
EEY KEY 替代 ,但 仍 为 SIG (0) 25 建议 标准 RFC 25361! 
和 TKEY 所 用 
为 给 定 域 中 一 台 主 机 得 
= 36 A 129 
一 台 给 定 主 机 的 纬度 /经 
LOC H 3 


一 个 给 定 电子 邮件 ID 的 


























MB 
7 RFC 1035 
一 个 给 定 域 的 邮件 交付 
MD 
Ee 3 RFC 1035 
= 
为 了 将 邮件 转发 到 一 人 4 RFC 1035099] 








给 定 域 , 将 接收 邮件 的 主机 
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(#8) 
RRType( 3È QType) | RR 目的 ( 即 RData 内 容 ) RR 类 型 ID IETF 状态 定义 的 文档 
一 个 给 定 电子 邮件 ID 的 过 
MG RFC 1035 
邮件 组 邮箱 名 
为 一 个 给 定 邮 箱 名 发 送 
MINFO 账户 请 求 或 错误 报告 的 邮 14 试验 型 的 RFC 1035!” 
箱 名 
MR 一 个 邮箱 名 的 别名 9 试验 型 的 RFC 1035/99 
电子 邮件 主机 解析 的 邮 区 
MX 15 RFC 1035 
件 交 换 器 mE 
用 于 DDDS, ENUM 等 应 
NAPTR 用 的 一 个 通用 字符 串 的 统 35 标准 跟踪 RFC 37611") 
一 资源 标识 符 
= 
NS 个 给 定 域名 的 名 字 服 ; 标准 ave-isast™! 
务 器 
一 台 主 机 的 网 络 服务 接 
NSAP z 22 见 RFC 170611] 
入 点 地 址 ee 
一 个 给 定 NSAP 地 址 的 
NSAP-PTR 23 见 RFC 17065139] 
主机 名 不 常见 
用 于 DNSSEC 的 一 个 资 a 
NSEC 源 记 录 集 合 的 经 过 认证 的 47 sleet RFC 4034!114] 
(DNSSEC) 
确认 或 存在 性 否定 确认 
用 于 DNSSEC 的 一 个 资 3 
NSEC3 源 记录 集合 存在 性 的 经 过 50 MERR RFC 5155!" 
(DNSSEC) 
认证 的 否定 确认 
NSEC3 PARAM 用 于 计算 获 列 属 主 名 的 eRe RFC 51550131 
NSEC3 参数 (DNSSEC) 
一 台 给 定 主机 的 任何 东 99] 
NULL i $3 085358 10 试验 型 的 RFC 1035 
过 时 的 a 
NXT 由 NSEC 替换 30 CONESECI RFC 3755 
一 个 给 定 IPv4 或 IPv6 地 z S 
12 RFC 1035 
E 址 的 主机 名 oF 
PX PE Se 26 不 常见 RFC 2163 0221] 
映射 
一 台 主 机 的 电子 邮件 地 
RP 址 和 用 于 更 多 信息 的 TXT 17 试验 型 的 RFC 1183 1081 


记录 指针 
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( 续 ) 
一 个 给 定 域名 、 类 和 RR 
标准 跟踪 ig 
RRSIG 类 型 的 资源 记录 集合 的 46 nsec RFC 4034 
签名 
一 台 给 定 主 机 的 代理 主 
RT 机 名 ,该 主机 并 不 总 是 处 于 21 试验 型 的 RFC 11831108 
连接 状态 的 
由 DNSSEC 内 的 RRSIG 
SIG 替换 ;由 SIG (0) 和 TKEY 24 建议 标准 RFC 2536128 
使 用 
SOA 一 个 区 域 的 权威 信息 6 标准 RFC 1035 
发 送 者 策略 框架 ,使 一 个 
域 属 主 能 够 识别 这 样 的 主 RFC 44081"? 
SPF 
机 ,它们 被 授权 从 该 域 发 送 试验 型 的 “| RFC 44090 
电子 邮件 
= 
SRV Fa 33 标准 跟踪 RFC 27820134] 
安全 外 壳 指 纹 ,支持 使 用 
SSHFP DNSSEC 的 SSH 主机 密 钥 RFC 42551135] 
验证 
与 一 台 主机 相关 联 的 任 
TXT 
童 文本 RFC 1035 
UID IANA 保留 
UINFO 用 户 信息 100 IANA 保留 
UNSPEC 未 指定 的 103 IANA 保留 
在 一 个 指定 卫 地 址 处 通 
过 一 个 给 定 协议 可 以 使 用 
WKS 11 [99] 
的 服务 ,如今 更 普遍 地 用 于 iii RKE 
一 台 主 机 的 SRV RR 
X25 X. 25 PSDN 19 试验 型 的 RFC 11830108] 





$11 % DNS 服务 器 部 署 策略 


本 章 详细 讨论 DNS 服务 器 的 部 署 策略 和 折 中 考虑 因素 。 一 般 而 言 ， 相 比 
DHCP, DNS 服务 器 支持 更 加 面向 角色 的 部 署 ， 我 们 的 讨论 将 配置 与 特定 角色 
(外 部 解析 、 缓 存 、 内 部 使 用 等 ) 相关 联 。 当 然 ， 预 算 资 金 和 更 加 靠近 端 用 户 的 
服务 器 数量 快速 增长 之 间 的 常见 折 中 考虑 ， 就 像 在 DHCP 一 样 ， 也 同样 适用 
于 DNS。 

和 DHCP 部 署 一 样 ，DNS 部 署 设计 应 该 考虑 到 高 可 用 性 、 性 能 和 安全 。 为 了 分 割 
名 字 空 间 和 解析 的 职责 界限 ， 使 用 一 种 组 件 构造 块 方法 进行 DNS 服务 器 部 署 ， 能 够 
有 助 于 取得 这 些 通用 目标 ， 在 本 章 通 篇 我 们 将 讨论 这 样 一 种 方法 。 要 牢记 的 是 ， 在 定 
义 一 个 “均码 ”型 架构 中 ， 不 存在 曲 奇 饼 成 型 刀 式 的 DNS 部 署 方法 。 但 是 ， 通 过 将 
基于 角色 的 服务 器 配置 定义 为 部 署 构造 块 ， 您 就 能 够 选择 哪些 是 适用 于 您 环境 的 规模 
和 政策 。 


11.1 通用 的 部 署 指导 原则 


要 牢记 在 心 的 一 些 通 用 原则 包括 如 下 。 

1) 对 任何 给 定 区 域 或 区 域 集合 ， 部 署 一 台 主 权威 服务 器 和 至 少 两 台 从 属 权威 服 
务 器 。 

2) 对 于 微软 Windows DNS 服务 器 部 署 方 法 ， 为 每 个 域 部 署 多 个 域 控制 器 。 

3) 为 了 做 到 站 点 多 样 化 的 高 可 用 性 ， 在 不 同 子 网 上 (理想 情况 下 ， 在 不 同位 
置 ) 部 署 权 威 服务 器 。 

4) 为 了 得 到 较 佳 的 性 能 和 较 低 的 网 络 额外 负担 ， 在 “靠近 ”客户 端 /解析 器 处 
部 署 权 威 服务 器 。 对 于 外 部 的 服务 器 ， 在 靠近 因特网 连接 处 部 署 ; 对 于 内 部 服务 器 ， 
在 较 接近 较 高 密度 雇员 区 域 部 署 。 

5) 为 主 服务 器 考虑 部 署 一 种 宛 余 的 硬件 解决 方案 。 

6) 为 处 理 外 部 查询 和 内 部 查询 ， 应 该 部 署 独立 的 DNS 服务 器 。 就 外 部 查询 而 
言 ， 我 们 指 来 自 组 织 机 构 外 部 (例如 因特网 ) 的 那些 查询 。 内 部 查询 是 指 来 自 组 织 
机 构 内 部 的 那些 查询 。 

7) 考虑 独立 的 服务 器 ， 它 们 负责 解析 这 样 的 权威 数据 ， 这 些 数据 来 自 于 负责 解 
析 递 归 查 询 的 那些 服务 器 〈 代 表 桩 解析 器 ) 。 





O KAKLA E Alex Dresher! 的 谈话 和 他 的 私人 文档 。 
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11.2 通用 的 部 署 构造 块 


本 节 以 组 成 构造 块 的 方式 提供 了 常见 DNS 部 署 场景 的 一 个 概述 。 依 据 一 个 查询 
来 源 (查询 源 ) 和 被 查询 信息 的 范围 (查询 范围 ) ， 我 们 将 这 些 构造 块 分 解 成 四 个 大 
类 。 我 们 按照 上 述 定义 查询 源 ， 外 部 查询 来 自 于 公开 因特网 ， 而 内 部 查询 来 源 于 组 织 
机 构 内 部 。 查 询 范围 通常 遵循 这 种 通用 分 解 方法 ， 即 外 部 范围 处 理 因 特 网 可 达 的 解析 
数据 ， 内 部 范围 包括 组 织 结构 内 的 解析 信息 。 下 表 小 结 了 这 种 分 类 ， 使 用 的 恰恰 仅 是 
原始 分 类 名 。 





查询 范围 
查询 源 
外 部 内 部 
外 部 外 部 -外 部 外 部 -内 部 
内 部 内 部 -外 部 内 部 -内 部 


另外 ， 我 们 将 讨论 一 些 非 角色 特定 的 场景 ， 可 适用 于 任何 构造 块 场景 。 这 些 可 适 
用 于 一 个 分 类 或 多 个 分 类 ， 原 因 是 它 提 供 了 特殊 的 解析 或 可 用 性 特征 。 

下 面 给 出 分 类 的 构造 块 场景 的 概述 。 

(1) 外 部 -外 部 分 类 。 这 个 分 类 是 由 这 样 一 个 DNS 部 署 组 成 的 ， 其 中 要 解析 源 于 
因特网 的 查询 ， 即 要 查询 您 所 在 机 构 的 公开 (外部) 解析 信息 。 如 果 您 有 一 条 因 特 
网 连接 ， 用 于 一 个 网 站 、 电 子 邮 件 或 其 他 公众 可 用 的 因特网 应 用 ， 则 在 您 的 部 署 策略 
中 就 必须 要 处 理 这 个 分 类 。 

1) 外 部 DNS 服务 器 部 署 。 这 个 构造 块 场景 寻求 为 外 部 客户 端 提 供 鲁 棒 的 名 字 解 
析 功 能 ， 这 些 客户 端正 在 查找 该 组 织 机 构 的 公开 资源 〈( 例 如 web 服务器、 电子 邮件 
服务 器 等 类 似 资 源 ) 的 合法 名 字 解 析 ， 同 时 要 最 小 化 对 如 下 客户 端的 暴露 程度 ， 这 
些 客户 端 寻求 攻击 DNS 基础 设施 或 出 于 攻击 目的 而 渗透 到 这 些 资 源 。 外 部 DNS 服务 
器 的 部 署 具有 这 样 的 特征 ， 即 一 个 隐藏 的 主 服务 器 带 有 许多 从 属 服务 器 。 正 如 我 们 将 
看 到 的 ， 这 些 服务 器 应 该 永远 不 会 为 一 个 解析 器 所 直接 查询 ; 仅 由 递归 名 字 服 务 器 代 
表 解 析 器 进行 解析 。 

(2) 外 部 -内 部 分 类 。 这 个 分 类 包括 这 样 的 查询 ， 来 自 组 织 机 构 外 部 ， 寻 找 内 部 
主机 和 资源 的 解析 。 除 了 为 合作 方 提供 “内 部 ”解析 信息 的 一 个 子 集 存 取 能 力 外 ， 
一 般 而 言 ， 应 该 禁用 这 个 分 类 。 这 个 分 类 的 DNS 服务 器 部 署 (用 于 合作 方 存 取 ) 应 
该 模仿 外 部 -外 部 分 类 下 的 外 部 DNS 场景 ， 但 也 许 部 署 为 一 个 并 行 的 依据 合作 方 不 同 
的 实现 方法 会 更 好 。 

(3) 内 部 -外 部 分 类 。 这 个 分 类 组 成 是 ， 处 理 内 部 查询 ， 它 们 请 求 因 特 网 资源 
解析 。 

1) 因特网 缓存 DNS 服务 器 。 因 特 网 缓存 服务 器 是 内 部 DNS 服务 器 ， 它 们 缓存 因 
特 网 解析 ， 由 内 部 DNS 服务 器 (代表 的 是 内 部 解析 器 ) 所 用 。 缓 存 服务 器 可 被 部 署 
为 内 部 解析 DNS 服务 器 的 一 项 功能 或 独立 于 内 部 解析 DNS 服务 器 。 在 前 一 种 情形 中 ， 
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内 部 名 字 空 间 的 权威 服务 器 简单 地 将 从 因特网 根 服务 器 到 域 树 的 查询 加 速 ， 以 便 解 析 
查询 ， 构 造 起 被 解析 数据 的 一 个 缓存 。 后 一 种 情形 ， 使 用 独立 的 缓存 服务 器 ， 支 持 其 
他 内 部 解析 DNS 服务 器 配置 成 如 下 功能 ， 即 汇聚 对 外 部 数据 的 查询 ， 通 过 这 些 缓存 
服务 器 实施 解析 。 这 样 做 的 话 ， 就 支持 对 哪些 服务 器 实施 外 部 查询 具有 更 多 控制 ， 而 
同时 使 这 些 服务 器 能 够 随时 间 推 移 构造 起 一 个 内 容 充 实 的 缓存 。 

(4) 内 部 -内 部 缓存 。 这 个 分 类 处 理 从 内 部 发 出 的 查询 ， 这 些 查询 要 的 是 内 部 解 
析 信 息 。 

1) 内 部 解析 DNS 服务 器 。 要 求 DNS 服务 器 解析 来 自 内 部 主机 对 内 部 目的 地 的 
查询 。 这 些 DNS 服务 器 配置 带 有 内 部 名 字 空 间 的 权威 信息 。 任 何 因特网 或 不 可 解析 
的 主机 查询 均 可 被 汇聚 到 缓存 (内 部 -外 部 ) 服务 器 。 和 外 部 主 DNS 服务 器 一 样 ， 出 
于 增强 安全 和 信息 完整 性 的 考虑 ， 内 部 主 DNS 服务 器 应 该 是 “隐藏 的 ”。 

2) 部 门 级 的 DNS 服务 器 。 对 于 较 大 型 的 组 织 机 构 而 言 ， 一 些 商务 部 门 或 实体 会 
希望 在 组 织 机 构 的 名 字 空 间 内 运行 他 们 自己 的 名 字 子 空间 。 这 个 场景 的 特征 是 在 内 部 
委派 名 字 空 间 ， 但 以 另 一 种 方式 却 是 内 部 解析 DNS 服务 器 情形 的 一 个 复制 ， 但 也 仅 
是 内 部 名 字 空 间 的 一 个 子 集 而 已 。 

3) 内 部 根 服务 器 。 内 部 根 服务 器 可 被 配置 为 内 部 名 字 空间 的 权威 根 ， 用 于 内 部 
查询 的 解析 。 

(5) 通用 交叉 角色 部 署 配置 。 这 个 分 类 可 应 用 于 多 种 部 署 场景 。 

1) 秘密 的 从 属 DNS 服务 器 。 虽 然 在 外 部 和 内 部 部 署 场景 中 讨论 了 隐藏 的 主 部 署 
情形 ， 但 还 有 另 一 种 “隐藏 的 ”方法 是 隐藏 从 属 服务 器 。 一 般 而 言 ， 对 于 来 自 解析 
器 以 及 其 他 名 字 服 务 器 的 直接 查询 ， 各 主 服务 器 是 隐藏 的 ， 隐 藏 的 从 属 服务 器 可 用 于 
解析 器 的 名 字 解 析 ， 但 对 于 来 自 其 他 名 字 服 务 器 的 请 求 迭 代 查 询 而 言 ， 却 是 隐藏 的 。 

2) 分 割 视图 DNS 服务 器 。 一 个 域 多 个 “版 本 ”的 部 署 方法 ， 对 于 限制 对 特权 的 
名 字 解 析 信 息 的 存 取 而 言 ， 这 种 方法 是 有 用 的 。BIND 9 的 视图 特征 功能 ， 支 持 一 个 
域 的 多 个 视图 或 版 本 的 部 署 。 微 软 DNS 目前 不 支持 视图 特征 功能 。 

3) 任意 播 服务 器 。 任 意 播 地 址 支持 将 单一 IP 地 址 指派 到 多 台 DNS 服务 器 。 这 
种 做 法 支持 使 用 一 个 共同 的 IP 地 址 ， 将 请 求 发 送 到 该 耻 地 址 ， 目 的 是 增强 的 性 能 和 
可 用 性 。 在 网 络 中 所 用 的 路 由 协议 实施 这 样 的 路 由 操作 ， 即 路 由 到 带 有 任意 播 卫 地 
址 的 最 近 距离 的 服务 器 。 

依据 您 所 在 组 织 机 构 的 规模 (和 预算 ) ， 您 可 选择 部 署 一 组 DNS 服务 器 的 外 部 -外 
部 集合 和 一 个 内 部 -内 部 集合 。 这 是 最 小 的 部 署 配置 ， 但 许多 组 织 机 构 也 部 署 专用 的 内 
部 -外 部 服务 器 。 更 大 型 的 或 更 复杂 的 部 署 方 法 可 利用 其 他 分 类 的 组 成 单元 。 这 种 构造 
块 方法 的 优势 是 简单 性 和 模块 化 ， 使 依据 您 的 环境 进行 选择 部 署 的 场景 成 为 可 能 。 


11.3 外 部 -外 部 分 类 


这 个 分 类 与 这 样 的 部 署 有 关 ， 即 对 来 自 外 部 源 的 查询 做 出 响应 ， 这 些 查询 需要 的 
是 该 组 织 机 构 的 公开 解析 信息 。 
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11.3.1 外 部 DNS 服务 器 


同样 ,，“ 外 部 ” 指 服 务 从 组 织 机 构 之 外 或 外 部 〈( 即 因特网 ) 的 DNS 查询 。 必 须 
为 访问 组 织 机 构 的 网 站 、 电 子 邮 件 和 其 他 应 用 而 提供 解析 服务 ,但 在 服务 外 部 客户 端 
中 考虑 到 外 部 服务 器 的 内 在 暴露 程度 和 潜在 脆弱 性 ， 为 了 保障 这 些 外 部 服务 器 的 信息 
完整 性 ， 必 须 并 慎 从 事 。 建 议 的 方法 是 为 服务 外 部 请 求 ， 部 署 两 台 或 多 台 从 属 DNS 
服务 器 ， 并 为 这 些 服务 器 配置 IPv4 和 IPv6 地 址 。 这 些 从 属 服务 器 也 许 直 接 就 部 署 在 
暴露 于 因特网 的 一 个 外 部 子 网 上 ， 或 位 于 一 个 DMZ 内 一 个 “一 线 ” 防 火 墙 之 后 ， 如 
图 11-1 所 示 。 








DMZ 
DNS 从 属 服务 器 
外 部 名 字 空间 











1920.234 
2001:db8:4af0:2010::a 
wir 


隐藏 的 主 服务 器 
外 部 名 字 空 间 






193.0.2.42 
2001:db8:4af0:2011::11 
oy 





内 侧 








192.0.2.50 
2001:db8:4af0:2006::9 
~ 


172.16.0.5 





Æ 11-1 外 部 DNS 构造 块 范例 


我 们 将 每 台 DNS 服务 器 配置 成 双 栈 (IPv4 和 IPv6) ， 以 便 支持 通过 任 一 协议 的 可 
达 性 。 我 们 将 每 台 外 部 DNS 服务 器 放置 在 其 自己 的 子 网 上 ， 原 因 是 我 们 为 外 部 主机 
(例如 这 些 DNS 服务 器 ) 对 我 们 的 192. 0. 2. 0/24 进行 分 割 。 在 这 种 情形 中 ， 我 们 形 
象 地 说 明 三 个 /29 子 网 ， 这些 服 务 器 部 署 在 这 些 子 网 上 : 192.0.2.32/29, 
192. 0. 2.40/29 和 192. 0. 2.48/29。 我 们 从 三 个 /64 子 网 分 配 了 三 个 IP 地 址 ， 这 些 子 
网 是 从 我 们 的 2001: DB8: 4AF0: 2000:; /56“ 外 部 ”IPv6 分 配 中 推算 得 到 的 。 

图 11-1 形象 地 说 明了 一 台 隐 藏 的 主 DNS 服务 器 ， 它 部 署 在 一 个 DMZ 内 部 防火 墙 
之 后 ,不 应 由 外 部 客户 端 直接 查询 。 因 为 这 台 主 服务 器 维护 着 “ 主 配 置 "， 从 属 服务 
器 从 这 里 得 到 配置 信息 ， 所 以 必须 保障 (safeguard) 其 信息 的 完整 性 。 出 于 这 个 原 
因 ， 这 人 台 主 DNS 服务 器 应 该 配置 为 隐藏 的 ， 这 意味 着 它 不 能 由 查询 其 他 DNS 服务 器 
的 方法 进行 识别 。 隐 藏 主 DNS 服务 器 的 方法 ， 降 低 了 一 名 攻击 者 识别 该 主 服务 器 的 
风险 ， 因 为 识别 服务 器 之 后 ， 攻 击 者 会 尝试 渗透 其 配置 信息 。 想 象 一 下 这 样 的 可 能 影 
响 和 乾 丛 境地 ， 即 如 果 一 名 攻击 者 将 您 的 www 记录 更 改 为 一 个 不 正当 的 网 站 。 隐 藏 
一 台 主 名 字 服 务 器 的 机 制 包括 : 在 这 个 域 的 区 域 文件 和 父 区域 文 件 中 去 除 该 服务 器 的 
NS 和 黏 结 记 录 ， 并 在 每 个 区 域 db 文件 中 修改 SOA 记录 的 主 服务 器 名 字 (“mname”) 
字段 。 一 般 而 言 ， 面 向 外 部 的 区 域 都 是 静态 区 域 ， 是 没有 动态 更 新 的 ， 所 以 在 这 样 的 
情形 中 可 安全 地 实施 mname 字段 修改 。 
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确保 配置 在 您 所 在 父 域 中 的 NS 和 黏 结 记 录 ， 要 指向 外 部 从 属 DNS 服务 器 ， 而 不 
是 主 服务 器 。 这 应 该 通过 您 的 ISP 或 域 注 册 机 构 来 安排 组 织 。 对 于 上 图 中 的 例子 ， 您 
应 该 向 您 的 父 (例如 ISP) 域 管理 员 提 供 如 下 NS/ 黏 结 记录 信息 : 

ipamworldwide. com. 86400 IN NS extdns1. ipamworldwide. com. 

ipamworldwide. com. 86400 IN NS extdns2. ipamworldwide. com. 

ipamworldwide. com. 86400 IN NS extdns3. ipamworldwide. com. 

extdns1. ipamworldwide. com. 86400 IN A 192. 0. 2. 34 

86400 IN AAAA 2001; db8: 4af0: 2010:; a 

extdns2. ipamworldwide. com. 86400 IN A 192. 0. 2. 42 

86400 IN AAAA 2001; db8: 4af0; 2011:: 11 
extdns3. ipamworldwide. com. 86400 IN A 192. 0. 2. 50 
86400 IN AAAA 2001; db8: 4af0; 2006:: 9 

注意 ， 外 部 DNS 服务 器 应 该 部 署 在 不 同 子 网 和 不 同 ISP 连接 上 (如果 可 用 的 
话 ) ， 或 使 您 的 ISP 也 代表 您 运行 一 台 从 属 服务 器 。 我 们 可 在 我 们 的 ISP 连接 防火 墙 
上 限制 DNS 查询 ， 如 表 11-1 和 表 11-2 中 的 范例 所 示 。 出 于 简单 性 考虑 ， 我 们 也 将 我 
们 的 三 个 /29 子 网 的 规则 合并 成 单一 “27 网 络 。 就 防火 墙 配置 而 言 ， 这 些 是 简单 的 指 
导 原 则 ; 您 的 策略 可 能 是 更 加 严格 的 。 在 BIND 或 Windows DNS 中 的 类 似 allow- * 选 
项 设置 (例如 allow-query (人 允许 -查询 ))， 可 定义 为 针对 每 台 服 务 器 的 访问 控制 列表 
(ACL) 以 及 我 们 将 在 本 章 后 面 说 明 的 那些 方法 。 

正如 刚刚 提 到 的 ， 为 了 最 大 化 可 用 性 ， 如 果 可 能 的 话 ， 这 些 服务 器 应 该 部 署 在 多 
个 位 置 。 如 果 您 有 因特网 双 连 接 ， 则 建议 以 一 种 类 似 配 置 在 每 个 连接 点 处 或 附近 部 署 
外 部 从 属 服务 器 。 图 11-2 形象 地 说 明了 一 个 多 穴 连 接 的 外 部 DNS 配置 。 在 这 种 配置 
中 ，IPAM 全 球 公司 的 外 部 DNS 服务 器 可 通过 ISP、 多 条 物理 链 路 以 及 DMZ 内 部 的 不 
同 子 网 均 可 访问 到 。 


311-1 DNS 消息 的 外 侧 防 火 墙 规则 例 








消息 和 方向 
来 自 因 特 网 
的 DNS 查询 
对 DNS 查询 
的 响应 






192. 0. 2.32/27, 2001: 
db8 :4af0 ;2000/56 





Allow( 允许 ) 





Any( 任 意 ) > 1023 













192. 0. 2. 32/27 , 2001: 


53 Any > 1023 
db8 :4af0 ;2000/56 


Allow 









R 11-2 DNS 消息 的 内 侧 防 火 墙 规则 例 





消息 和 方向 


由 从 属 服务 
器 到 主 服务 器 
的 查询 (例如 刷 
新 查询 ) 















53 





172. 16.0.5 





192. 0. 2. 32/27 
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( 续 ) 
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192.0.2.50 
2001:db8:4af0:2006:: 9 
AS 


ert 
图 11-2 “在 一 个 多 穴 连 接 场景 中 的 外 部 DNS 


注意 到 这 些 附 加 的 建议 ， 也 将 有 助 于 维护 外 部 DNS 服务 器 以 及 它们 所 解析 信息 
的 安全 。 

(1) 在 一 个 chroot 的 监狱 式 法 中 允许 DNS。 这 降低 了 服务 器 平台 及 有 关 服 务 的 暴 
露 程 度 ， 可 为 其 他 攻击 目标 提供 一 个 垫 脚 石 ， 方 法 是 将 文件 系统 存 取 限 制 到 一 个 有 限 
的 功能 集合 ， 而 不 是 拥有 对 服务 器 上 完全 的 根 访 问 权 限 。 这 个 “改变 根 权 限 ” 或 
chroot 配置 运行 在 某 个 名 字 的 一 个 指定 子 目录 下 ， 而 不 是 根 目录 。 如 果 一 名 攻击 者 得 
到 某 个 名 字 子 目录 的 存 取 权限 ,他 们 将 仅 得 到 chroot 后 目录 的 存 取 权 限 ， 而 不 是 根 目 
录 权限 ， 在 根 目 录 权 限 下 可 存 取 所 有 的 文件 系统 资源 。 多 数 工具 性 产品 都 预先 配置 ， 
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在 一 个 目录 系统 “jail”( 监 狱 ) 中 允许 DNS, 

(2) 跟踪 使 用 BIND 或 微软 DNS 软件 的 最 新 版 本 ， 并 订阅 在 isc. org 或 Windows 
update (更 新 ) 的 bind-announce (HESE) 电子 邮件 列表 。 一 旦 检测 到 安全 弱点 ， 
就 发 送 电 子 邮件 通知 ， 并 带 有 关联 的 补救 步骤 和 补丁 。 另 外 ,监测 针对 平台 所 报告 的 
操作 系统 弱点 ， 这 是 因为 您 在 这 些 平 台 上 运行 着 DNS。 

G) 必须 禁止 递归 查询 。 这 将 使 这 些 服 务 器 仅 处理 迭 代 查 询 ， 即 来 自 其 他 DNS 
的 查询 ， 而 不 是 解析 器 的 查询 。 这 些 服务 器 一 定 不 要 代表 任何 人 实施 DNS 查询 。 这 
就 降低 了 支持 递归 查询 的 处 理 负载 ， 更 重要 的 是 ， 降 低 了 针对 这 些 服务 器 的 缓存 毒化 
或 拒绝 服务 攻击 。 

(4) 在 区 域 传递 上 配置 访问 控制 列表 ， 如 我 们 将 在 下 面 说 明 的 情形 。 

(5) 如 果 有 可 能 ， 就 禁止 针对 这 些 外 部 区 域 的 动态 更 新 和 通知 。 如 果 外 部 名 字 
空间 数据 变化 频繁 ， 并 要 求 动态 更 新 的 话 ， 那 么 要 限制 主 服务 器 及 其 从 属 服务 器 之 间 
的 更 新 和 通知 消息 。 

(6) 为 主 服务 器 和 从 属 服务 器 之 间 的 区 域 传 递 和 更 新 实施 签名 ， 而 配置 事务 签 
名 (TSIG) 密 钥 ， 如 我 们 将 在 下 面 说 明 的 情形 。 这 提供 了 数据 源 发 者 认证 功能 。 

(7) 如 果 需 要 通知 ， 则 在 主 服务 器 上 配置 端口 号 ， 在 该 端口 号 上 要 向 从 属 服务 
器 发 送 通知 消息 。 这 就 要 求 在 内 部 防火 墙 上 指定 相应 的 端口 。 

(8) 在 从 属 服务 器 上 配置 端口 号 ， 要 在 该 端口 上 从 主 服务 器 得 到 区 域 传递 。 这 
就 要 求 在 内 部 防火 墙 上 指定 相应 的 端口 。 

(9) 通过 配置 侦 听 地 址 /端口 、 允 许 来 源 和 密 钥 语 句 ， 保 障 rde 控制 信道 的 安 
全 。 您 可 能 甚至 想 在 这 些 服务 器 上 禁止 mde。 

(10) 将 版 本 选项 设置 为 一 个 伪造 的 设置 。 没 有 必要 告知 您 正在 运行 的 BIND 的 
版 本 ， 因 为 这 会 为 攻击 者 提供 有 关 如 何 最 佳 攻击 服务 器 的 信息 ， 特 别 当 您 没有 保持 使 
用 较 新 的 发 行 版 软件 时 更 是 如 此 。 


11.4 外 部 -内 部 分 类 


这 个 分 类 组 成 情况 是 ， 外 部 主机 查询 有 关内 部 (SEA) 解析 信息 的 信息 。 一 
般 而 言 ， 泄 漏 有 关内 部 主机 的 信息 是 人 们 所 不 希望 的 ， 并 是 一 项 潜在 的 安全 风险 。 即 
使 相互 连接 的 合作 方 仅 应 该 访问 受到 保护 的 信息 (当然 不 是 整个 的 内 部 名 字 空 间 ) 
时 也 是 如 此 。 


11.4.1 外 部 网 DNS 服务 器 部 署 


合作 方 间 的 连接 ， 典 型 情况 下 ， 被 配置 为 因特网 之 上 的 虚拟 专 网 (VPN) 连接 或 
一 个 专 网 ， 典 型 地 涉及 合作 方 空间 和 内 部 网 络 之 间 的 一 个 “合作 方 DMZ” 或 防火 墙 。 
如 图 11-3 所 示 ， 这 个 分 类 的 DNS 部 署 架构 镜像 了 外 部 -外 部 分 类 的 情况 ， 但 解析 数据 
配置 是 多 少 有 些 不 同 的 。 取 决 于 哪些 解析 数据 可 透露 给 一 个 给 定 的 合作 方 ， 由 合作 方 
客户 端 查询 的 DNS 服务 器 必须 依据 这 种 数据 进行 配置 。 因 此 按照 外 部 DNS 场景 ， 不 
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支持 递归 的 隐藏 主 服务 器 和 可 见 从 属 服务 器 的 概念 是 适用 于 这 种 分 类 的 。 

合作 方 特定 的 解析 信息 可 被 定义 为 一 个 “外 部 网 ”名 字 空 间 ， 其 中 包含 配置 于 
这 些 DNS 服务 器 上 的 相应 区 域 文件 。 另 外 ， 如 果 多 个 合作 方 存 取 访 问 一 个 共同 的 
DNS 服务 器 ， 服 务 合 作 方 链 路 的 DNS 服务 器 上 的 实现 视图 ， 可 支持 每 个 合作 方 的 解 
析 信 息 。 我 们 稍 后 将 讨论 DNS 视图 配置 ， 但 它们 允许 DNS 服务 器 回答 “ 谁 在 问 ” 式 
的 查询 ， 例 如 合作 方 A 的 fip 主机 名 与 合作 方 B 的 fp 主机 名 这 两 者 的 解析 可 能 是 不 
同 的 。 

每 个 合作 方 的 DNS 解析 过 程 应 该 被 配置 为 可 到 达 这 些 DNS 服务 器 ， 以 便 解 析 您 
希望 透露 有 关 您 所 在 网 络 的 信息 。 我 们 将 从 内 部 -外 部 分 类 一 节 中 的 互补 视角 ， 配 置 
我 们 的 服务 器 来 解析 我 们 的 合作 方 解 析 数据 所 需 的 信息 。 














合作 方 DMZ 
DNS 从 属 服务 器 
外 网 名 字 空 间 


172.20.199.2 
= 


隐藏 的 主 服务 器 


1720 1993 
外 网 名 字 空 间 wr 





x 
172.20.199.4 
i w 
172.20.0.5 


图 11-3 外 部 网 DNS 部 署 


11.5 内 部 -内 部 分 类 


11.5.1 内 部 解析 DNS 服务 器 


我 们 将 回顾 为 内 部 解析 部 署 DNS 服务 器 的 各 种 配置 包括 各 种 主 / 从 服务 器 配 
置 、 缓 存 服务 器 、 外 部 网 存 取 服务 器 和 内 部 根 服务 器 。 

内 部 DNS 服务 器 。 应 该 部 署 内 部 DNS 服务 器 ,解析 来 自 内 部 客户 端 对 内 部 主机 
信息 的 查询 。 我 们 可 称 它们 为 内 部 TLD， 即 “顶层 域 ” ， 原 因 是 它们 将 是 内 部 名 字 空 
间 的 顶层 主 服 务 器 (例如 ipamworldwide. com) ， 并 可 将 子 域 委派 给 其 他 内 部 DNS 服务 
器 ， 我 们 将 在 后 面 描述 。 内 部 主 DNS 服务 器 可 被 部 署 为 一 台 隐 藏 主 服务 器 。 一 般 来 
说 ， 通 过 隐藏 主 服务 器 而 控制 主 服务 器 的 信息 完整 性 ， 是 一 个 好 想法 ， 原 因 是 内 部 发 
起 的 攻击 占据 网 络 安全 泄漏 事件 的 绝 大 部 分 。 

部 署 足够 数量 的 从 属 服务 器 ( 当然 它们 也 是 其 相应 区 域 信息 的 权威 )， 可 支持 客 
户 端 查询 的 解析 ， 同 时 外 载 主 服 务 器 ， 使 它们 仅 处 理 配 置 更 新 。 如 果 一 台 主 DNS 服 
务 器 失效 ， 从 属 服务 器 将 继续 解析 查询 ， 但 一 次 长 时 间 的 中 断 可 能 破坏 从 属 服务 器 区 
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域 数据 的 有 效 性 ， 当 然 就 破坏 了 区 域 数据 的 及 时 性 。 从 属 服务 器 将 继续 支持 这 个 区 域 
数据 ， 直 到 超过 超时 时 间 (expire time) Wik, 在 此 时 间 之 后 ,该 服务 器 将 不 再 认为 
它 自己 是 该 区 域 的 权威 。 如 果 主 服务 器 下 线 ， 动态 更 新 也 就 不 可 能 了 。 

当 尝 试 隐藏 一 台 主 DNS 服务 器 时 ， 这 是 客户 端 驱动 的 动态 更 新 功能 的 微软 客户 
端 环境 ， 需 要 考虑 的 一 个 重要 因素 是 ， 微 软 客户 端 依赖 于 MNAME 字段 来 识别 要 更 新 
的 主 服务 器 。 在 这 种 情形 中 ， 使 用 BIND DNS 服务 器 ， 您 仍然 能 够 隐藏 主 服务 器 ， 方 
法 是 将 MNAME 字段 更 改 为 指向 一 台 合 法 的 从 属 服务 器 ， 并 配置 allow-update-forward- 
ing 选项 ， 将 更 新 转发 到 主 服务 器 。 一 般 来 说 ， 我 们 建议 ， 使 客户 端 不 能 直接 更 新 
DNS， 而 倾向 于 使 您 的 DHCP 服务 器 实施 这 项 功能 。 能 够 更 新 DNS 的 实体 越 少 ， 则 可 
配置 的 访问 安全 就 越 严格 ， 将 能 够 影响 DNS 数据 完整 性 的 更 新 源 种 类 就 越 少 。 

向 笔记 本 计算 机 、 人 台式 机 、 打 印 机 、VoIP 电话 以 及 其 他 IP 设备 提供 动态 寻 址 功 
能 ， 一 般 而 言 ， 使 用 DHCP 服务 器 无 论 如 何 都 是 必要 的 。 考 虑 到 这 些 设备 中 的 多 数 
(如 果 不 是 所 有 的 话 ) 设备 类 型 将 要 求 在 DNS 中 有 对 应 于 其 相应 指派 地 址 的 表 项 ， 我 
们 就 需要 允许 来 自我 们 的 DHCP 服务 器 的 DNS 更 新 操作 。 因 为 我 们 有 一 台 隐 藏 的 服 
务 器 ， 所 以 我 们 能 够 配置 DHCP 服务 器 来 更 新 一 台 从 属 DNS 服务 器 。 这 人 台 服 务 器 可 
采用 硬件 元 余 的 方法 进行 部 署 ， 以 便 最 小 化 任何 中 断 服务 时 间 ， 在 这 种 情形 中 ，DNS 
不 能 为 DHCP 服务 器 实施 更 新 。 

图 11-4 给 出 一 个 范例 ， 其 中 为 我 们 的 内 部 
ipamworldwide. com 名 字 空 间 部 署 了 四 台 服 务 器 。 
如 在 结构 概述 中 所 描述 的 情形 ， 内 部 客户 端 解析 
器 应 该 至 少 配 置 有 两 台 DNS 服务 器 。 为 了 均衡 查 
询 负 载 ， 可 在 分 支 办 事 处 或 远 端 站 点 部 署 任何 数 
量 的 附加 从 属 服务 器 。 


11.5.2 内 部 委派 DNS 主 / 从 服务 器 


在 较 大 型 的 组 织 机 构 中 ， 子 域 可 被 委派 到 特 
定 的 部 门 或 分 部 。 继 续 我 们 的 范例 ， 我 们 创建 一 






172.16.30.5 


172.16.40.5 172.16.60.5 
172.16.50.5 


个 finance. ipamworldwide. com 域 ， 作 为 非 委 派 的 。 ipamworldwide.com K+ 
这 意味 着 ， 与 finance. ipamworldwide. com 域 关联 的 图 11-4 用 于 内 部 客户 端的 
配置 和 资源 记录 ,被 包括 在 其 父 区 域 文 件 中 内 部 DNS 服务 器 


(ipamworldwide. com) 。 

对 于 其 他 部 门 ， 独 立 的 DNS 管理 员 可 能 希望 管理 他 们 自己 的 域 信息 。 让 我 们 考 
虑 一 个 例子 。 如 果 工 程 部 希望 为 eng. ipamworldwide. com 域 运行 DNS， 则 管理 内 部 顶 
层 域 ipamworldwide. com (BẸ eng. ipamworldwide. com 的 父 域 ) 的 团队 可 分 配 一 个 新 的 
委派 域 ( 即 区 域 ) 。 这 个 新 区 域 的 权威 DNS 服务 器 的 NS 和 黏 结 记录 ， 需 要 在 权威 服 
务 器 自身 和 父 区 域 pamworldwide. com 的 那些 权威 服务 器 上 进行 配置 。 从 技术 角度 而 
言 eng. ipamworldwide. com 区 域 (而 不 是 其 父 区 域 ) 是 这 些 NS (MAB) 记录 的 权 
威 ， 但 父 区 域 必须 配置 这 些 记录 ， 以 便 提供 沿 域 树 向 下 的 索引 指示 (referral) - 
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类 似 地 ， 相 关联 的 反 向 域 (可 能 是 多 个 ) 可 
在 工程 部 门 进行 维护 。 让 我 们 假定 ， 它 们 从 组 织 
机 构 的 私有 空间 分 配 了 地 址 空间 172. 20. 0. 0/15, 
注意 这 个 空间 没有 落 在 字 节 边界 上 上。 因此， 将 要 172 16 .130 5 
求 两 个 反 向 域 。 因 为 172.20.0.0/15 由 
172. 20. 0. 0/16 和 172. 21. 0. 0/16 地 址 空间 组 成 ， 
那么 我 们 将 创建 两 个 基于 字 节 边界 的 反 向 域 : 
20. 172. in-addr. arpa 和 21. 172. in-addr. arpa。 

图 11-5 所 示 为 服务 器 部 署 范例 。 正 如 您 看 到 

172.16.140.5 172.16.160.5 

的 ， 它 看 起 来 极 像 带 有 一 台 主 服务 器 和 几 台 从 属 172.16.150.5 
服务 器 的 内 部 TLD DNS 服务 器 部 署 情形 。 这 是 基 eng. ipamworldwide.com 区 域 


20.172.in-addrarpa 区 域 


于 BIND 的 权威 DNS 服务 器 的 常见 部 署 配置 。 21 172 in_addrarpa 区 域 
11.5.3 ”内 部 根 服务 器 图 11-5 内 部 名 字 空间 委派 


到 此 为 止 所 描述 的 每 台 内 部 DNS 服务 器 配 
置 ， 都 声明 根 C) 区 域 作 为 类 型 提示 线索 ， 指 向 root-hints. tt 文件 。 到 此 时 ， 我 们 
假定 这 个 文件 包含 因特网 根 服务 器 NS 和 A/AAAA 记录 ， 支 持 针对 外 部 信息 解析 的 域 
树 规模 扩展 。 在 访问 受 限 、 被 禁止 或 其 他 通常 情况 下 因特网 不 可 用 的 环境 中 ， 可 部 署 
一 组 内 部 根 服 务 器 ， 来 权威 地 解析 本 地 递归 服务 器 不 能 解析 的 查询 ， 或 更 可 能 的 情况 
是 ,指引 这 些 查询 到 可 能 获得 解析 的 位 置 。 

这 些 内 部 根 服务 器 实际 上 在 组 织 机 构 的 其 他 服务 器 的 hints (提示 线索 ) 文件 中 ， 
替换 了 因特网 根 服务 器 。 换 句 话说 ， 即 这 些 内 部 根 服务 器 ， 是 内 部 客户 端 索要 名 字 解 
析 的 最 终 权威 和 最 后 机 会 。 因 此 ， 这 个 配置 消除 了 对 因特网 名 字 服 务 器 的 依赖 ， 但 却 
将 解析 限制 在 根 服务 器 及 其 委派 域 服务 器 内 所 包含 的 信息 上 。 

在 这 种 配置 中 ,我 们 使 用 上 面 针 对 我 们 的 内 部 DNS 服务 器 所 定义 的 相同 配置 文 
件 。 但 我 们 需要 使 用 一 组 内 部 根 服务 器 ， 而 不 是 标准 的 因特网 根 服务 器 ， 来 定义 提示 
线索 文件 〈 在 我 们 的 情形 中 是 root-hints. txt) 。 提 示 线 索 文件 仅 包 含 根 服务 器 的 NS 和 
黏 结 记录 。 如 果 我 们 使 用 有 三 台 根 服务 器 的 一 个 简单 范例 ， 则 我 们 所 参考 (refer- 
enced) 的 提示 线索 文件 也 许 看 来 像 






IN NS root1. ipamworldwide. com. 
rootl. ipamworldwide. com. IN A 172. 16.1.1 
IN AAAA 2001; db8: 4af0; fl:: 1 
3 IN NS root2. ipamworldwide. com. 
root2. ipamworldwide. com. IN A 172. 18. 1. 34 
IN AAAA 2001; db8: 4af0: a:: 1 
: IN NS root3. ipamworldwide. com. 
root3. ipamworldwide. com IN A 10. 251.0. 5 
IN AAAA 2001; db8: 4af0; c001:: 1 
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在 每 台 根 服务 器 上 的 配置 文件 也 许 看 来 像 下 面 的 情形 : 
aclinternal-nets {10.0.0.0/8; 172. 16. 0. 0/12 ;2001 :db8 :4af0 : :/48; |; 
options | 
recursion no; // iterative queries only( 仪 支持 迭代 查询 ) 
allow- query | internal-nets; | ; // allow from internal nets( 允许 查询 来 自 内 网 ) 
allow-notify | none; }; // disallow notify processing( 不 允许 通知 处 理 ) 
allow-transfer | none; | ; // disable zone transfers( 禁止 区 域 传 递 ) 
allow-update | none; | ; // disable updates( 禁 止 更 新 ) 
La 
zone “.” | 
type delegation-only; 
file “db. dot” ; 
i 
每 台 根 服务 器 是 一 台 仅 支持 委派 类 型 的 服务 器 ， 如 在 上 面 范例 配置 文件 底部 的 根 
区 域 声 明 块 内 所 指明 的 情况 。 仅 支持 委派 类 型 是 一 种 特殊 形式 的 类 型 服务 器 ， 它 仅 以 
referral ( 转 荐 ) 而 不 是 答案 做 出 应 答 。 在 BIND 中 多 台 主 服务 器 配置 的 这 样 一 种 情 
形 ， 对 于 像 这 种 变化 不 频繁 的 静态 区 域 是 可 能 的 。 对 根 区 域 的 任何 修改 ， 都 意味 着 一 
个 新 的 或 修改 过 的 顶层 域 指派 ， 并 必须 通过 更 新 每 台 根 服务 器 上 的 db. dot 文件 来 完 
成 。 没 有 动态 更 新 、 通 知 或 区 域 传 递 。 所 有 改变 必须 由 管理 员 对 db. dot 文件 的 修改 
来 完成 ， 并 要 求 所 有 主 服务 器 上 被 修改 区 域 文件 的 协同 载 人 ， 才 能 将 其 同步 地 进行 
服务 。 
如 下 形象 地 说 明了 范例 db. dot 文件 的 一 部 分 ， 它 包含 内 部 根 区 域 的 解析 数据 。 
$ TTL 1d 
. IN SOA dnsl. ipamworldwide. com. dnsadmin. ipamworldwide. com ( 
1 // serial number( 序列 号 ) 
2h // refresh interval of 2 hours(2h 的 刷新 闻 隔 ) 
30m // retry after 30 minutes( #Æ 30min JG Hix) 
lw // expire after 1 week(1 周 后 过 期 ) 
ld ); // negative caching TTL of 1 day(1 天 的 负面 缓存 TTL) 
ipamworldwide. com. IN NS dnsl. ipamworldwide. com. 
IN NS dns2. ipamworldwide. com. 
IN NS dns3. ipamworldwide. com. 
IN NS dns4. ipamworldwide. com. 
partner. net IN NS dns-parl. ipamworldwide. com. 


IN NS dns- par2. ipamworldwide. com. 


16. 172. in- addr. arpa IN NS dnsl. ipamworldwide. com. 
IN NS dns2. ipamworldwide. com. 
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0. f. a. 4. 8. b. d. 0. 1. 0. 0. 2. ip6. arpa IN NS dnsl. ipamworldwide. com. 
IN NS dns2. ipamworldwide. com. 


dnsl. ipamworldwide. com. IN A 172. 16. 40.5 


dns2. ipamworldwide. com. IN A 172. 16. 50.5 
dns- parl. ipamworldwide. com. IN A 172. 20. 199. 2 
dns- par2. ipamworldwide. com. IN A 172. 20. 199. 3 


我 们 前 面 配置 的 对 其 他 DNS 服务 器 的 转 荐 ， 支 持 查询 的 权威 解析 。 这 里 ， 任 何 
查询 都 落 在 ipamworldwide. com 内 (包括 eng. ipamworldwide. com ) ， 将 被 发 送 到 我 们 的 
内 部 权威 服务 器 。 注 意 我 们 在 这 个 列表 中 没有 包括 172. 16. 30.5 这 人 台 服 务 器 ， 原 因 是 
这 是 一 台 隐 藏 的 服务 器 。 

要 求 外 部 〈 例 如 ) 合作 方 外 部 网 DNS 服务 器 的 任何 解析 ， 也 都 要 求 在 提示 线索 
文件 中 有 对 应 的 表 项 ， 它 指向 内 部 面向 合作 方 的 服务 器 。 在 我 们 上 面 的 例子 中 ， 访 问 
partner. net 域 及 其 子 域 ， 都 将 被 转 到 权威 DNS 服务 器 dns-parl. ipamworldwide. com 或 
dns- par2. ipamworldwide. com。 如 我 们 将 在 下 一 分 类 中 将 讨论 的 情况 ， 这 些 服 务 器 可 被 
配置 为 partner net 区 域 的 桩 服务 器 ; 另外 ， 直 接 转 荐 到 partner. net DNS 服务 器 的 方 
法 ， 可 被 用 于 根 区 域 文件 内 这 些 表 项 之 上 。 底 线 是 ， 这 些 根 服务 器 可 将 顶层 域 委派 给 
其 他 DNS 服务 器 ， 这 些 服务 器 顺 次 被 配置 为 : 权威 地 解析 相应 的 域 和 子 域 。 


11.5.4 隐秘 的 从 属 DNS 服务 器 


如 此 称 为 隐秘 的 〈Stealtth) 从 属 DNS 服务 器 ， 原 因 是 在 父 区域 中 缺少 服务 器 的 
NS 和 黏 结 记录 ， 如 我 们 在 前 一 节 刚 刚 看 到 的 172. 16. 30.5 服务 器 的 情形 ; 因此 ， 这 
台 隐 藏 的 名 字 服 务 器 不 是 通过 NS 查询 加 以 识别 的 。 我 们 已 经 使 用 这 种 配置 来 隐藏 一 
台 主 服务 器 ， 但 这 种 方法 也 可 同样 适用 于 从 属 服务 器 。 因 此 ， 当 遍历 域 树 时 ， 其 他 
DNS 服务 器 将 不 会 因为 解析 而 查询 这 人 台 隐 藏 的 服务 器 ， 原 因 是 它 没有 在 父 区 域 的 转 
荐 中 进行 “通告 ”。 

为 了 降低 服务 器 间 流 量 , 或 控制 这 种 流量 到 解析 器 和 其 他 服务 器 的 一 个 固定 组 
合 ， 可 针对 一 台 从 属 服务 器 部 署 这 种 类 型 的 配置 。 本 地 解析 器 可 被 配置 为 查询 一 台 隐 
秘 的 从 属 服务 器 。 并 不 采取 去 除 隐 秘 从 属 服务 器 的 NS ABBR, HR, RRS 
价 于 一 台 正 常 从属 服 务 器 的 配置 。 


11.5.5 多 层 服 务 器 配置 


部 署 隐藏 服务 器 的 方法 ， 可 有 助 于 降低 作为 一 组 区 域 的 主 服务 器 对 攻击 的 暴露 程 
度 。 这 使 解析 器 和 其 他 服务 器 可 查询 从 属 服务 器 ， 从 属 服务 器 也 是 所 配置 区 域 的 权 
威 。 但 在 一 些 情形 中 ， 人 们 也 期 望 增加 一 个 第 三 层 ， 以 此 补充 两 层 的 主 从 模型 。 这 个 
高 层 的 特征 是 一 台 主 DNS 服务 ， 也许 是 所 有 内 部 名 字 空 间 的 主 服务 器 ,实际 上 可 提 
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供 一 个 组 织 机 构 DNS 信息 的 真正 主 数据 库 。 这 个 场景 如 图 11-6 所 示 。 


172.16.20.5 


172.16.130.5 


172.16.40.5 172.16.60.5 172.16.140.5 172.16.160.5 
172.16.50.5 172.16.150.5 


Eng.ipamworldwide.com 区 域 


.172.in— ; 
finance.ipamworldwide.com 区 域 A eE zs a 


ipamworldwide.com X 





图 11-6 三 层 的 内 部 服务 器 结构 


让 我 们 称 这 个 顶层 DNS 服务 器 为 一 个 层 1 服务 器 。 它 将 所 有 区 域 配置 为 类 型 主 
模式 (type master) 。 我 们 前 面 的 主 服务 器 172. 16. 30.5 和 172. 16. 130.5 (我 们 将 称 它 
们 为 层 2 服务 器 ) 现在 被 配置 为 从 属 服务 器 ， 从 我 们 的 层 1 主 服 务 器 处 拉 取 区 域 传 
递 。 在 层 3 的 原始 从 属 服务 器 集合 ， 仍 然 保 持 为 从 属 服务 器 ， 并 继续 从 其 相应 的 层 2 
服务 器 拉 取 区 域 传递 。 这 些 层 2 服务 器 (虽然 还 是 从 属 服务 器 ) 被 配置 在 每 台 层 3 服 
务 器 区 域 语句 的 masters 语句 之 内 。 因 此 ， 在 我 们 的 层 3 服务 器 的 配置 中 不 需要 改变 。 
但 是 ， 我 们 的 层 2 服务 器 ， 必 须 针 对 每 个 配置 的 区 域 修 改 为 从 属 服务 器 ， 以 层 1 服务 
器 标识 为 每 个 区 域 的 主 服 务 器 。 在 这 种 配置 中 ， 层 1 服务 器 被 称 作 主要 的 主 服务 器 ， 
原因 是 这 是 在 其 上 区 域 更 新 可 被 直接 执行 的 服务 器 ， 其 中 到 层 2 和 层 3 的 区 域 传递 被 
后 续 执 行 ， 以 便 据 此 更 新 所 有 的 权威 服务 器 。 


11.6 内 部 -外 部 分 类 

部 署 场景 的 这 个 分 类 为 组 织 机 构 内 部 的 解析 器 ,解决 该 机 构 外 部 信息 的 DNS 
解析 。 
11.6.1 混合 权威 /缓存 DNS 服务 器 


多 数 权威 的 、 递 归 的 DNS 服务 器 ， 代 表 解 析 器 ， 缓 存 查询 解析 过 程 中 它们 所 接 
收 到 的 解析 信息 ， 所 以 多 数 权威 服务 器 从 技术 角度 来 说 是 “混合 的 ”服务 器 。 迄 今 
为 止 我 们 讨论 过 的 内 部 服务 器 配置 都 落 在 这 个 场景 内 : 它们 尝试 解析 权威 信息 ， 如 果 
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不 能 解析 ， 则 逐步 将 查询 升级 ， 一 直到 因特网 (或 内 部 的 ) 根 服务 器 为 止 。 对 于 拥 
有 许多 台 内 部 DNS 服务 器 的 小 到 中 型 组 织 机 构 来 说 ， 这 种 配置 运行 良好 。 

但 是 ， 如 果 几 台 〈 由 个 人 容忍 程度 〈 应 该 指 经 济 承 受 能 力 ) 确定 ， 但 大 约 为 10 
台 或 更 多 ) 这 样 的 服务 器 实施 这 些 因特网 查询 的 话 ， 就 会 出 现 令 人 担忧 的 问题 。DNS 
解析 要 求 消耗 从 机 构 到 因特网 的 IP 外 发 流量 ,这 从 一 个 安全 策略 的 角度 而 言 ， 会 增 
加 暴露 风险 。 许 多 台 服 务 器 可 能 针对 同一 解析 信息 ， 发 起 匈 余 的 查询 ， 这 就 降低 了 效 
率 。 因 此 ， 下 一 节 强 调 使 用 一 组 专用 的 缓存 服务 器 ， 通 过 这 些 服务 器 可 发 出 所 有 的 外 
发 查询 。 


11.6.2 专用 的 缓存 服务 器 


专用 缓存 服务 器 可 用 作 这 样 一 个 集中 点 ,解析 来 自 内 部 主机 要 求 内 部 名 字 空 间 之 
外 信息 的 查询 。 我 们 的 内 部 服务 器 将 为 内 部 客户 端 解析 ipamworldwide. com 查询 ,但 
因特网 网 站 和 电子 邮件 地 址 的 解析 ， 将 要 求 使 用 支持 相应 名 字 空 间 的 DNS 服务 器 才 
能 得 到 解析 。 专 用 缓存 服务 器 的 部 署 ， 针 对 来 自 内 部 源 的 因特网 DNS 查询 ， 会 有 助 
于 降低 外 发 查询 ， 并 简化 防火 墙 的 配置 。 组 织 机 构 内 部 的 其 他 名 字 服 务 器 ， 在 它们 不 
能 直接 从 权威 配置 或 其 自己 的 缓存 中 进行 解析 的 情况 下 ， 将 查询 转发 到 这 些 缓存 名 字 
服务 器 。 

由 于 对 专用 缓存 服务 器 在 代表 内 部 主机 解析 因特网 查询 这 方面 的 依赖 ， 专 用 缓存 
服务 器 应 该 部 署 在 一 种 高 可 用 配置 状态 。 因 为 这 些 缓存 服务 器 将 频繁 地 发 送 并 接收 因 
特 网 流量 ， 所 以 它们 应 该 被 部 署 在 靠近 因特网 连接 处 。 将 这 种 情形 加 到 我 们 前 面 的 外 
部 DNS 图 中 ， 得 到 图 11-7， 它 形象 地 说 明了 在 内 部 网 络 内 (但 相对 靠近 因特网 连接 
处 ) 一 对 高 可 用 服务 器 的 部 署 。 如 果 您 拥有 两 条 不 同 的 因特网 连接 ， 则 在 靠近 每 条 
连接 处 部 署 一 台 服 务 器 或 一 对 服务 器 ， 是 一 个 好 想法 ,但 在 图 11-7 中 仅 给 出 一 对 服 
务 器 的 情形 。 










MZ 2 


DNS 从 属 服务 器 


因特网 缓存 外 部 名 字 空 间 


192.0.2.34 
2001:db8:4af0:2010::a 
~~ 






172.16.15-6 


隐藏 的 主 服务 器 
外 部 名 字 空 间 





172.16.0.5 


图 11-7 为 外 部 解析 ， 增 加 缓存 服务 器 
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外 部 服务 器 为 外 部 查询 器 解析 您 的 公开 信息 的 查询 ， 而 缓存 服务 器 代表 您 的 内 部 
客户 端 解析 外 部 信息 。 内 部 缓存 名 字 服 务 器 的 IP 地址 ， 需 要 添加 到 防火 墙 的 允许 列 
表 ， 以 便 为 内 部 客户 端 支 持 因特网 主机 名 的 解析 。 使 用 一 台 或 少量 这 样 的 名 字 服 务 
器 ， 支 持 在 满足 如 下 条 件 的 组 织 机 构 内 部 ， 仅 指定 这 些 少 量 地 址 而 不 是 每 台 DNS 服 
务 器 地 址 ， 否 则 该 机 构 会 执行 迭代 查询 。 

因为 服务 器 为 所 有 内 部 客户 端 缓存 响应 ， 所 以 随 着 时 间 推 移 ， 当 服务 器 在 其 缓存 
中 极 可 能 有 查询 响应 信息 时 ， 解 析 效 率 倾 向 于 较 高 。 但 是 ， 对 缓存 毒化 的 脆弱 性 以 及 
不 准确 或 恶意 解析 信息 的 使 用 ， 可 能 导致 错误 定向 的 应 用 连接 。 确 保 您 的 防火 墙 没有 
将 外 发 DNS 查询 的 UDP 端口 号 做 随机 化 处 理 。 同 样 考虑 在 这 些 服务 器 上 配置 DNS- 
SEC 验证 选项 〈 信 任 密 钥 ) ， 我 们 在 第 13 章 将 讨论 。 我 们 前 面 讨论 的 防火 墙 范例 配置 
可 进行 更 新 ， 见 表 11-3 和 表 11-4。 我 们 使 用 “NAT {172. 16. 1.5} ”来 表示 从 缓存 服 
务 器 的 IP 地 址 进行 地 址 转换 (NAT) 得 到 的 耳 地 址 。 针 对 每 台 服务 器 应 该 有 这 样 的 
一 个 表 项 。 


表 11-3 DNS 消息 的 范例 更 新 外 部 防火 墙 配置 






消息 和 方向 


从 因特网 来 的 
DNS 查询 















任意 








对 DNS 查询 的 


允许 192. 0. 2. 32/27 53 
响应 


> 1023 


因特网 缓存 服务 


i NAT{ 172. 16. 1.5 1023 
器 查询 允许 | | > 











对 因特网 缓存 服 
务 器 查询 的 响应 


所 有 其 他 情形 


允许 任意 








表 11-4 针对 DNS 消息 的 范例 更 新 内 部 防火 墙 配置 











消息 和 方向 控制 源 地 址 源 端 口 目的 地 地 址 目的 地 端口 
由 从 属 服务 器 到 
主 服务 器 的 查询 ( 例 允许 192. 0. 2. 32/27 >1023 172. 16.0. 5 53 
如 刷新 查询 ) 
SESE 允许 172. 16. 0.5 53 ,1053 192. 0. 2. 32/27 > 1023 
属 服务 器 的 响应 
因特网 缓存 服务 
i 172. 16. 1.5 1023 7 53 
对 因特网 缓存 服 
i 53 172. 16. 1.5 1023 
所 有 其 他 情形 拒绝 任意 任意 任意 任意 
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缓存 DNS 服务 器 配置 的 重要 方面 包括 如 下 内 容 。 
1) 作为 一 台 缓 存 服务 器 ， 该 服务 器 不 是 任何 区 域 的 权威 。 在 这 台 服 务 器 上 要 配 
置 (或 简单 地 包括 ) 的 唯一 区 域 文件 是 root-hints. file, 
2) 仅 允 许 来 自 内 部 源 的 查询 。 
3) 禁止 动态 更 新 和 区 域 传递 。 
4) 可 依据 服务 器 资源 和 缓存 策略 ， 使 用 缓存 管理 选项 。 
5) 当 缓 存 服务 器 面临 缓存 毒化 和 其 他 “中 间 人 ”攻击 时 ， 采 用 安全 补丁 和 更 新 
使 缓存 服务 器 软件 保持 最 新 。 在 下 一 章 讨论 这 点 。 
6) 如 果 期 望 使 用 DNSSEC 验证 (在 第 13 章 详细 描述 ) ， 则 要 配置 信任 的 或 管理 
的 密 钥 。 
7) 通过 配置 或 缓存 ， 如 果 其 他 内 部 DNS 服务 器 不 能 解析 的 查询 ， 它 们 会 将 这 些 
查询 转发 到 这 些 因特网 缓存 服务 器 。 
(1) 缓存 服务 器 配置 例 。 这 种 类 型 服务 器 的 一 个 范例 name. conf 配置 如 下 。 
acl internal-nets | 10. 0. 0. 0/8; 172. 16. 0. 0/12; 
2001 :db8 :4af0::/48; } ; 
options | 
directory “/opt/named/dns/etc” ; 
recursion yes; 
version “hidden” ; 
allow- query | internal-nets; } ; 
allow-transfer { none; } ; 


allow-update | none; | ; 


zone “.” | 
type hint; 


file “Internet-root- hints. file” ; 


“ Internet- root- hints. file” 文件 应 该 是 标准 的 NIC 根据 示 线 索 文件 ， 指 向 因特网 根 
DNS 服务 器 。 当 这 人 台 服 务 器 构建 其 缓存 时 ， 它 将 首先 使 用 缓存 来 对 内 部 查询 做 出 响 
应 ， 之 后 当 必要 时 ， 从 根 服务 器 开始 ， 沿 域 树 向 下 进行 查询 。 

(2) 导致 的 内 部 服务 器 配置 改变 。 考 虑 到 将 非 权威 解析 上 升 到 因特网 (或 内 部 ) 
根 ， 使 用 缓存 服务 器 所 导致 的 策略 改变 ， 对 于 到 此 为 止 我 们 所 讨论 的 所 有 内 部 -内 部 
分 类 服务 器 配置 而 言 ， 需 要 做 出 如 下 配置 改变 。 

1) 去 除 指向 提示 线索 文件 的 如 下 根 区 域 语 句 块 。 

zone “.” | 

type hint 


file root- hints. txt 
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2) 激活 到 缓存 服务 器 的 转发 功能 ， 而 不 使 用 hints (提示 线索 ) 文件 。 通 过 将 如 
下 语句 插 人 到 每 台 服 务 器 的 named. conf 文件 的 选项 {|} 块 内 ， 可 做 到 这 点 。 


options | 


forwarders | 172. 16. 1.5; 172. 16.1.6;} ; 
forward only; 

| 

这 个 配置 指令 DNS 服务 器 将 所 有 查询 转发 到 我 们 的 缓存 服务 器 。 转 发 选项 可 如 
上 所 述 配 置 在 全 局 层次 、 可 配置 在 每 区 域 层 次 以 及 可 配置 在 带 有 区 域 层 次 的 一 个 全 局 
层次 〈 例 外 的 是 在 相应 区 域 语 句 块 内 输入 一 个 空 的 转发 器 语句 (forwarders {| ;))。 

考虑 我 们 的 172. 16. 40. 5 从 属 服务 器 配置 ， 我 们 可 更 新 它 的 named. conf 文件 ， 方 
法 是 如 上 所 述 去 掉 根 区 域 块 ， 并 添加 我 们 的 两 条 转发 语句 。 那 么 我 们 可 使 ipamworld- 
wide. com 区 域 免除 转发 ， 方 法 是 在 区 域 块 内 插 人 我 们 的 空转 发 器 语句 ， 如 下 。 

zone “ipamworldwide. com” | 

type slave; 

forwarders | | ; 

masters | 172. 16.30.5 ; }; 
file “bak. ipamworldwide. com” ; 

E 
采用 这 种 配置 ， 对 ipamworldwide. com 域内 资源 记录 的 查询 将 由 服务 器 自己 来 解 
析 ; 其 他 查询 将 被 转发 到 我 们 的 因特网 缓存 服务 器 。 

这 个 配置 的 另外 一 种 方法 涉及 在 每 台 服 务 器 上 保留 根 区 域 和 提示 线索 文件 配置 ， 
同时 要 将 named. conf 文件 内 “forward only;” 语 名 改变 为 “forward first;”。 这 样 做 ， 
就 将 服务 器 配置 成 : 在 开始 时 尝试 使 用 转发 来 解析 查询 ， 但 如 果 不 能 解析 ， 则 使 用 其 
他 的 方法 ， 例 如 通过 根 服务 器 的 解析 法 。“forward only; ”语句 指令 服务 器 转发 ， 以 此 
作为 解析 的 唯一 (first and last resort) 选项 。 


11.6.3 外 网 解析 服务 器 


这 个 场景 包括 : 配置 内 部 DNS 服务 器 解析 来 自 内 部 客户 端 请 求 外 网 合作 方 信息 
的 查询 。 这 种 配置 是 我 们 在 外 部 -内 部 分 类 中 所 讨论 外 网 场景 的 补充 。 在 这 种 特定 的 
场景 中 ， 存 在 三 种 配置 可 能 性 。 

(1) 外 网 转发 区 域 。 在 前 一 节 我 们 对 转发 的 讨论 之 上 ， 我 们 可 将 与 合作 方 域 绑 
定 的 查询 定义 为 类 型 为 “转发 ”的 一 个 区 域 。 内 部 DNS 服务 器 所 接收 到 的 、 要 求 对 
合作 方 域 解析 有 关 的 所 有 查询 ， 将 被 转发 到 指定 的 合作 方 DNS 服务 器 。 为 了 针对 我 
们 的 合作 方 域 (比如 pamer. net) 实现 这 个 场景 ,我们 在 named. conf 文件 内 声明 这 个 
区 域 ， 如 下 。 


zone “partner. net” | 
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type forward; 
forwarders { 192. 168. 100.5; 192. 168. 200.5; |; 
forward only; 
MM 
(2) Sh Ped ARE DX Sa. — AE BR Sa WJ A — RRB Sh, Hh ER ae EL 
传递 和 维护 该 区 域 的 NS 和 黏 结 记录 ， 而 不 是 整个 区 域 资源 记录 内 容 。 就 像 一 个 桩 解 
析 器 一 样 ， 一 个 桩 区 域 是 这 样 配置 的 ， 就 给 定 区 域 为 各 查询 配置 “ 谁 在 请 求 ” (who 
to ask) ， 而 不 像 一 个 从 属 区 域 那 样 直接 提供 答案 。 在 一 条 外 网 链 路 的 特殊 情形 中 ， 可 
为 我 们 的 合作 方 域 partner. net， 产 生 一 个 桩 域 。 
zone “partner. net” | 
type stub; 
masters | 192. 168.249.11;}; 
ry 
(3) 通过 内 部 根 的 外 网 委派 。 如 果 您 正在 使 用 内 部 根 服务 器 ， 则 您 可 将 part- 
ner. net 区 域 定义 为 仅 是 委派 的 ， 并 指向 合作 方 的 DNS 服务 器 (可 能 是 多 台 服 务 器 )， 
方法 是 配置 相应 的 NS 和 黏 结 记录 。 在 我 们 前 面 的 内 部 根 区 域 文件 例子 中 ， 我 们 将 要 
解析 查询 的 DNS 服务 器 内 部 集合 指向 partner. net 域 。 这 些 被 索引 (referenced) 服务 
器 将 需要 配置 这 个 区 域 为 转发 或 柱 ; 另外 ， 根 区 域 文件 可 直接 指向 合作 方 的 服务 器 ， 
虽然 这 样 做 时 ， 如 果 您 的 合作 方 改变 服务 器 IP 地 址 或 主机 名 的 话 ， 这 就 会 成 为 一 个 
维护 问题 。 


11.7 ”交叉 角色 分 类 


11.7.1 分 割 视图 DNS 服务 器 


BIND 9 的 这 种 视图 特征 功能 支持 将 一 个 区 域 的 多 个 版 本 部 署 到 一 台 DNS 服务 器 
上 。 可 依据 查询 源 和 目的 地 上 的 一 个 地 址 匹配 列表 以 及 查询 是 否 为 递归 的 ， 服 务 器 可 
过 滤 查 询 。 这 个 过 滤 过 程 确定 为 查询 的 解析 ， 将 搜索 区 域 的 哪个 版 本 或 视图 。 每 个 视 
图 均 被 配置 有 其 区 域 文件 的 对 应 版 本 。 使 用 视图 的 一 个 常见 例子 是 用 于 “分 割 
DNS”, 或 提供 一 个 组 织 机 构 名 字 空 间 的 内 部 和 外 部 版 本 。 虽 然 并 不 建议 部 署 单一 
DNS 服务 器 集合 来 处 理 内 部 和 外 部 查询 ， 但 对 于 较 小 型 的 组 织 机 构 ， 这 确 是 一 种 更 
实际 的 方法 。 但 视图 也 可 用 于 内 部 名 字 空 间 ， 将 对 某 些 主机 解析 的 访问 限制 到 特定 的 
解析 器 客户 端 。 

在 下 面 的 例子 中 ， 我 们 将 定义 一 个 新 的 子 域 hr. ipamworldwide. com， 定 义 该 区 域 
的 两 个 版 本 ， 之 后 将 这 些 版 本 与 DNS 服务 器 上 的 相应 视图 关联 。 这 个 概念 是 提供 对 
hr (人 力 资 源 ) 门户 服务 器 (主机 名 portal) 的 通用 访问 ， 但 将 hr. ipamworldwide. com 
子 域内 其 他 主机 的 访问 限制 到 仅 有 网 络 上 的 HR 用 户 才 有 权限 。 

我 们 首先 考虑 的 一 件 事 是 区 域 文 件 自 身 。 让 我 们 在 一 个 称 为 


第 11 章 DNS 服务 器 部 署 策略 205 





db. hr. ipamworldwide. com. default 中 创建 我 们 的 通用 的 或 默认 的 域 版 本 ,在 另 一 个 称 为 
db. hr. ipamworldwide. com. hr 的 文件 也 做 这 些 工作 ,但 后 者 对 于 HR 客户 端 具有 较 宽 的 可 见 
性 (visibility) 。 注 意 如 果 没 有 委派 hr 子 域 ， 则 将 需要 父 区 域 文件 的 两 个 版 本 ， 子 域 的 每 
个 视图 需要 一 个 版 本 。 

我 们 的 db. hr. ipamworldwide. com. default 文件 将 包含 有 限 数 量 的 A 记录 或 甚至 仅 
有 一 条 A 记录 (除了 该 区 域 的 SOA、NS 和 黏 结 记 录 外 ) 。 

portal IN A 172. 16. 4. 24 

而 db. hr. ipamworldwide. com. hr 文件 将 包含 更 多 的 资源 记录 ， 例 如 

payroll IN A 172. 16. 4. 10 

benefits IN A 172. 16. 4. 14 

empdb IN A 172. 16. 4. 22 

portal IN A 172. 16. 4. 24 

promo IN A 172. 16. 4. 30 

注意 也 需要 4. 16. 172. in-addr. arpa. 域 的 两 个 版 本 ， 每 个 版 本 对 应 于 每 个 视图 中 
暴露 出 的 IP 地 址 和 主机 。 在 db 文件 名 上 ， 我 们 使 用 相同 的 default 和 hr JGR. 

db. 172. 16. 4. default 文件 概要 : 


24 IN PTR portal. hr. ipamworldwide. com. 


db. 172. 16. 4. hr 文件 概要 : 


10 IN PTR payroll. hr. ipamworldwide. com. 

14 IN PTR benefits. hr. ipamworldwide. com. 

22 IN PTR empdb. hr. ipamworldwide. com. 

244 DNS SERVER DEPLOYMENT STRATEGIES 
24 IN PTR portal. hr. ipamworldwide. com. 

30 IN PTR promo. hr. ipamworldwide. com. 


既然 我 们 已 经 为 每 个 版 本 创建 了 我 们 的 区 域 文件 ， 那 么 我 们 可 将 它们 与 DNS 服 
务 器 上 的 对 应 视图 关联 。 让 我 们 使 用 hrdns. hr. ipamworldwide. com 作为 我 们 的 主 DNS 
服务 器 。 下 面 是 这 台 服 务 器 的 范例 name. conf 文件 的 部 分 内 容 : 
acl human-res {172. 16. 4. 0/23; | ; 
view “hr” { 
match-clients { “human-res” ; } ; 
match- destinations | localnets; | ; 
zone “hr. ipamworldwide. com. ”| 
type master; 


file “db. eng. ipamworldwide. com. hr” ; 
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by 
zone “4. 16. 172. in-addr. arpa.” | 
type master; 
file “db. 172. 16. 4. hr” ; 
i 
by 
view “default” | 
match-clients | any; |; 
zone “hr. ipamworldwide. com. ”| 
type master; 
file “db. hr. ipamworldwide. com. default” ; 
bs 
zone “4. 16. 172. in-addr. arpa. ” { 
type master; 
file “db. 172. 16. 4. default” ; 
by 

i 

注意 在 named. conf 内 视图 语句 的 顺序 是 重要 的 。 匹 配 查询 的 第 一 个 视图 将 被 用 
于 确定 将 访问 哪个 区 域 文件 的 信息 。 因 此 我 们 在 更 具 区 分 力 的 hr 视图 语句 之 后 定义 
我 们 的 默认 视图 ， 它 匹配 所 有 的 客户 端 查询 。 我 们 声称 这 是 一 个 部 分 定义 。 为 了 合适 
地 实施 到 从 属 服务 器 的 区 域 传递 ， 要 以 相同 方式 (likewise) 配置 这 些 视图 ， 要 求 进 
行 特殊 处 理 。 毕 竟 对 与 hr. ipamworldwide. com 主机 有 关 的 一 条 资源 记录 的 更 新 ， 可 解 
释 为 落 入 任 一 视图 。 应 该 更 新 哪个 视图 呢 ? 

要 确保 通知 、 更 新 和 传递 处 于 正确 的 视图 间 ， 就 要 求 对 匹配 客户 端 ACL 以 及 查 
询 - 源 、 通 知 - 源 和 传递 - 源 语句 进行 修改 (manipulation)。 通 过 为 这 样 的 每 个 功能 定 
SOUR IP 地 址 、 施 用 一 条 对 应 的 ACL， 服 务 器 间 通 信 可 被 集中 到 正确 的 视图 。 在 对 我 
们 上 述 例子 扩展 上 ， 我 们 需要 修改 我 们 的 “human-res” (人 力 资源 ) ACL 以 便 禁 止 
(negate) 默认 视图 的 源 语句 中 使 用 的 IP 地 址 (可 能 有 多 个 地 址 ) 。 即 考虑 到 顺序 的 
重要 性 ， 来 自 于 主 服务 器 对 默认 视图 的 通知 ， 需 要 从 人 力 资源 的 视图 中 阻塞 掉 ， 使 他 
们 看 不 到 。 类 似 地 ， 来 自 于 从 属 服务 器 针对 默认 视图 的 传递 请 求 ， 也 需要 从 人 力 资 源 
的 视图 中 阻塞 掉 。 另 外 ， 在 两 组 服务 器 上 的 查询 - 源 应 该 进行 类 似 配 置 。 

这 在 图 11-8 中 作 了 形象 的 说 明 。 出 于 简洁 性 考虑 ， 在 每 台 服 务 器 上 使 用 字母 来 
符号 化 (symbolize) ` -source* 选 项， 我 们 可 以 图 形 方式 说 明 ， 有 关 视 图 2 的 一 个 区 域 
更 新 的 一 条 通知 (从 主 服务 器 到 从 属 服务 器 1) 将 首先 匹配 从 属 服务 器 上 的 视图 1。 
来 自视 图 2 的 通知 ， 将 使 用 源 IP 地 址 B。 在 从 属 服 务 器 1 上 ， 在 视图 定义 的 匹配 - 





日 ” 即 在 主 服 务 器 上 的 查询 - 源 (query-source) 和 通知 - 源 (notify-source) 选项 以 及 每 台 从 属 服务 器 上 
的 查询 - 源 (query-source) 和 传递 - 源 (transfer-source) 选项 。 
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客户 端 部 分 内 阻塞 B， 但 落 在 视图 2 的 匹配 准则 内 ， 因 此 得 以 施用 。 类 似 地 ， 来 自 源 
在 耳 地 址 I 上 针对 默认 视图 的 、 由 从 属 服务 器 2 到 主 服务 器 的 一 条 传递 请 求 ， 将 在 视 
图 1 和 视图 2 内 被 阻塞 ， 但 正确 地 施用 到 默认 视图 。 

图 1 


视 

匹配 客户 端 =!B,!C 
+ 一 源 =D 
视图 2 


匹配 客户 端 =!A,!C 
*- 源 = 







视图 1 
匹配 客户 端 =!E,!F,!H,!I 






-=A 





匹配 客户 端 =!A,!C 
*- 源 =H 







匹配 客户 端 = 任意 
*- 源 =] 


图 11-8 服务 器 间 通 信 的 视图 配置 


将 这 个 模型 施用 到 我 们 上 面 较 简单 的 配置 例 ， 其 中 一 台 主 名 字 服 务 器 使 用 IP 源 
地 址 172. 16.4. 101 (IÆ 11-8 中 的 地 址 A) 和 172.16.4.102 (地 址 C)、 单 一 一 台 从 
属 服务 器 施用 源 地 址 172. 16. 5. 201 (地 址 D) 和 172. 16. 5.202 (Hh F), 我 们 得 到 





主 服务 器 的 如 下 配置 。 
acl human-res {! |! 172.16.4.0/23; any;}; ! 172. 16. 5. 202; }; 
view “hr” | 
match-clients | “human-res” ; | ; 


match- destinations | localnets; } ; 
query-source address 172. 16. 4. 101; 
zone “hr. ipamworldwide. com. ” | 
type master; 
notify- source 172. 16. 4. 101; 
file “db. eng. ipamworldwide. com. hr” ; 
bs 
zone “4, 16. 172. in-addr. arpa.” | 
type master; 
notify- source 172. 16. 4. 101; 
file “db. 172. 16. 4. hr” ; 
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Is 
by 
view “default” | 
match-clients | any; }; 
query-source address 172. 16. 4. 102; 
zone “hr. ipamworldwide. com. ” | 
type master; 
notify- source 172. 16. 4. 102; 
file “db. hr. ipamworldwide. com. default” ; 
i 
zone “4. 16. 172. in-addr. arpa.” { 
type master; 
notify-source 172. 16. 4. 102; 
file “db. 172. 16. 4. default” ; 
rg 
is 
如 下 反映 了 相应 的 从 属 服务 器 的 视图 配置 。 
acl human-res-slave {! {! 172.16.4.0/23; any;}; ! 172.16.4. 102; |; 
options { 
directory “/opt/dns/etc” ; 
= 
view “hr” | 
match-clients | “human-res-slave” ; } ; 
match-destinations { localnets; } ; 
query-source address 172. 16. 5. 201; 
zone “hr. ipamworldwide. com. ”| 
type master; 
notify- source 172. 16.5. 201; 
masters | 172. 16. 4. 101; |}; 
i5 
zone “4. 16. 172. in-addr. arpa.” | 
type master; 
notify- source 172. 16. 5. 201; 
masters | 172. 16. 4. 101; }; 
Fy 
ls 
view “default” | 


match-clients | any; } ; 
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query-source address 172. 16.5. 202 ; 
zone “hr. ipamworldwide. com. ”| 
type master; 
notify- source 172. 16.5. 202; 
masters | 172. 16.4. 102; }; 
ry 
zone “4. 16.172. in-addr. arpa.” | 
type master; 
notify-source 172. 16.5. 202; 
masters | 172. 16. 4. 102; |; 
jis 
by 


11.7.2 采用 任意 播 地 址 部 署 DNS 服务 器 


采用 任意 播 地 址 配置 DNS 服务 器 ， 支 持 多 台 DNS 服务 器 使 用 同一 个 IP 地 址 。 回 
顾 一 下 ， 一 个 任意 播 地 址 是 指派 到 多 个 接口 〈 典 型 情况 下 在 不 同 节点 上 ) 的 一 个 地 
址 。 当 尝试 到 达 任 意 播 可 寻 址 主机 中 的 任意 一 台 时 ， 如 果 不 关心 到 达 的 是 哪 台 主机 ， 
则 使 用 任意 播 。 路 由 设施 处 理 路 由 度量 指标 的 更 新 ， 以 便 跟踪 到 配置 有 目的 任意 播 地 
址 的 最 近 主 机 的 可 达 性 和 路 由 。 图 11-9 形象 地 说 明了 这 样 一 个 例子 ， 其 中 有 三 台 
DNS 服务 器 ， 配 置 有 任意 播 地 址 10. 4. 23. 1。 











目的 地 ”度量 指标 下 一 跳 
10.4.23.1/32 2 路 由 器 2 
10.4.23.1/32 3 ”路 由 器 4 
10.4.23.1/32 






vnes DNS 服务 器 
路 由 器 10.4.23.1 


DNS 服务 器 
10.4.23.1 


图 11-9 ”任意 播 路 由 表 例 

如 图 11-9 所 示 ， 路 由 器 1 有 到 任意 播 地 址 10. 4. 23. 1/32 的 三 条 路 由 ， 它 们 对 应 
于 我 们 的 三 台 服 务 器 。 最 近 的 服务 器 是 驻 留 (home) 在 路 由 器 2 上 的 ， 距离 路 由 器 1 
有 两 跳 。 下 一 个 距离 最 近 的 服务 器 驻 留 在 路 由 器 5 上 ， 通 过 路 由 器 4 在 三 跳 内 可 达 。 
最 后 ， 连 接 到 路 由 器 6 的 服务 器 ， 通 过 路 由 器 2 或 路 由 器 4 在 四 跳 内 可 达 。 从 路 由 器 


1 视角 看 的 逻辑 视图 如 图 11-10 所 示 ， 其 中 任意 播 卫 地 址 被 看 做 单一 目的 地 ， 通 过 多 
条 路 径 可 达 。 
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(1) 任意 播 的 优势 。 部 署 任意 播 的 做 法 ， 提 供 了 诸多 优势 。 

1) 简化 了 解析 器 配置 。 

2) 改善 的 解析 性 能 。 

3) 高 可 用 性 的 DNS 服务 。 

4) 对 DNS 拒绝 服务 攻击 的 抑制 能 力 。 

配置 有 DNS 服务 器 任意 播 地 址 的 各 解析 器 ， 它 们 的 查询 将 被 路 由 到 配置 有 那个 
任意 播 地 址 的 最 近 DNS 服务 器 。 因 此 ， 不 管 解析 器 主机 连接 到 哪里 的 网 络 ， 相 同 的 
任意 播 IP 地 址 都 由 解析 器 使 用 来 定位 一 台 DNS 服务 器 。 这 个 局 部 化 的 查询 过 程 也 被 
用 来 改进 解析 过 程 的 性 能 。 到 一 个 DNS 任意 播 地 址 的 一 条 查询 ， 应 该 被 路 由 到 最 近 
的 DNS 服务 器 ， 由 此 降低 了 整体 查询 过 程 中 的 往返 延迟 时 间 量 。 

为 了 相应 地 更 新 路 由 表 ， 一 台 DNS 服务 器 的 连接 中 断 可 通知 到 路 由 基础 设施 
(没有 通信 量 就 表示 中 断 了 ) 。 这 要 求 DNS 服务 器 运行 一 个 路 由 守护 进程 ， 使 用 所 选 
的 路 由 协议 将 可 达 性 信息 通知 给 本 地 路 由 器 。 参 与 到 路 由 协议 更 新 之 中 的 做 法 ,支持 
本 地 路 由 器 以 一 个 合适 的 度量 指标 更 新 它 的 路 由 表 ， 并 通过 路 由 协议 将 这 个 信息 传递 
给 其 他 路 由 器 。 取 决 于 DNS 服务 器 的 部 署 情形 (内 部 的 或 外 部 的 ) ， 将 需要 在 DNS 
服务 器 上 运行 一 个 相应 的 内 部 或 外 部 路 由 协议 。 服 务 器 简单 地 需要 通知 它 的 任意 播 地 
址 是 可 达 的 。 典 型 情况 下 ， 是 这 样 完成 的 ， 将 服务 器 本 地 回环 地 址 ?之 一 指派 为 任意 
播 地 址 ， 并 在 一 个 或 多 个 端口 上 运行 一 个 路 由 守护 进程 ， 通 告 到 该 任意 播 地 址 的 可 达 
性 。 在 如 下 情况 下 ， 这 将 是 特别 有 用 的 ， 即 如 果 这 个 路 由 更 新 被 连接 到 服务 器 上 的 
DNS 守护 进程 或 服务 器 的 状态 时 ， 虽 然 当 通知 IP 地 址 可 达 性 时 ， 一 般 而 言 ， 应 用 状 
态 是 不 作 考虑 的 。 







一 一 


or- 
-^ DNS 服务 器 
“G) 10.4.23.1 


— 
图 11-10 路 由 器 1 的 逻辑 路 由 视图 ， 图 中 显示 了 跳 数 


部 署 任意 播 ， 要 付出 拒绝 服务 攻击 的 缓解 措施 的 代价 ， 这 已 被 2007 年 2 月 6 日 
对 多 台 根 服务 器 的 分 布 式 拒绝 服务 (DDoS) 攻击 所 验证 。 在 作为 攻击 目标 的 六 台 
服务 器 中 ， 受 影响 最 严重 的 两 台 是 还 没有 实施 任意 播 的 那些 服务 器 。 部 署 了 任意 播 的 
其 他 四 台 根 服务 器 ， 支 持 将 攻击 分 散 到 更 多 物理 服务 器 的 能 力 。 因 此 ， 对 工 根 服务 器 





O 这 里 的 术语 “回环 地 址 ” 指 代 软 件 回环 地 址 ， 普 遍 实现 为 路 由 器 和 服务 器 中 的 “设备 地 址 ”， 在 这 
些 设 备 的 任意 接口 上 均 可 达 。 
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(还 没有 实施 任意 播 ) 的 一 次 DDoS 攻击 ， 严 重地 影响 了 服务 器 对 合法 查询 响应 的 能 
力 ， 而 对 下 根 服务 器 ( 它 在 40 台 以 上 的 服务 器 上 配置 了 F 根 任意 播 地 址 ) 的 攻击 ， 
被 服务 器 将 攻击 的 影响 分 布 到 了 这 些 服务 器 上 。 这 种 形式 的 负载 分 担 做 法 ， 使 了 根 服 
务 器 (可 能 是 多 台 ) 在 遇 到 人 为 请 求 的 密集 攻击 时 ， 继 续 处 理 合法 的 查询 。 

(2) 任意 播 警告 (caveat) 。 虽 然 任意 播 提供 了 许多 优势 ， 但 也 要 考虑 到 部 署 任 
意 播 的 约束 和 和 警告。 因为 各 解析 器 可 在 一 个 给 定 的 时 间 查 询 配置 有 任意 播 地 址 的 任何 
一 台 DNS 服务 器 ， 所 以 配置 在 服务 器 上 的 解析 信息 的 一 致 性 ， 是 重要 的 。 例 如 ， 在 
因特网 根 服务 器 上 的 实现 ， 由 带 有 静态 信息 的 一 组 主 服务 器 组 成 。 这 些 根 服务 器 不 会 
接受 动态 更 新 。 如 果 动 态 区 域 希望 使 用 任意 播 ， 那么 除了 它 的 任意 播 地 址 之 外 ， 每 台 
服务 器 必须 有 一 个 单 播 地 址 ? 。 这 种 做 法 支持 将 更 新 定向 到 主 服务 器 的 单 播 地 址 ， 接 
下 来 通过 从 属 服务 器 相应 的 单 播 地 址 来 通知 主 服务 器 的 从 属 服务 器 。 可 使 用 一 种 隐藏 
的 主 服务 器 配置 ， 它 的 从 属 服务 器 配置 有 任意 播 地 址 。 

另 一 种 考虑 是 要 求 在 您 的 DNS 服务 器 上 运行 一 个 路 由 守护 进程 ， 该 服务 器 配置 
有 任意 播 地 址 。 将 报 文 路 由 到 任意 播 地 址 主要 (primarily) 是 一 项 路 由 功能 ， 一 台 
DNS 服务 器 主机 的 不 可 达 会 导致 查询 尝试 的 丢失 。 在 如 下 情况 下 将 会 发 生 这 种 情形 ， 
即 静态 路 由 被 用 来 配置 带 有 DNS 服务 器 的 固定 度量 指标 的 路 由 器 ， 这 些 DNS 服务 器 
配置 有 一 个 共同 的 任意 播 地 址 。 如 果 一 台 服 务 器 变 得 不 可 达 ， 则 服务 路 由 器 就 没有 办 
法 检测 到 这 点 ， 将 不 会 重新 路 由 目的 地 为 任意 播 地 址 的 报 文 。 因 此 ， 在 DNS 服务 器 
上 集成 一 个 路 由 守护 进程 ， 就 改进 了 整体 的 鲁 棒 性 。 如 果 一 台 服 务 器 出 现 故 障 ， 则 本 
地 路 由 器 将 确定 它 不 再 是 可 达 的 ， 并 将 更 新 它 的 路 由 表 ， 通 过 路 由 协议 更 新 操作 来 更 
新 其 他 路 由 器 的 路 由 表 。 考 虑 到 因特网 根 路 由 器 部 署 在 全 球 因 特 网 上 ， 它 们 支持 
BGP, 但 部 署 在 组 织 机 构 内 部 的 将 可 能 要 求 支持 OSPF, IGRP 或 所 选中 的 内 部 路 由 
协议 。 

最 后 ， 当 使 用 任意 播 时 ， 排 错 是 有 点 挑战 性 的 。 考 虑 到 服务 器 的 二 义 性 ， 要 对 来 
自 一 台 主机 任意 播 地 址 的 伪造 响应 进行 排 错 ， 是 困难 的 。 为 了 识别 哪 台 以 任意 播 寻 址 
的 服务 器 是 有 问题 的 ， 一 种 好 的 思路 是 ， 以 BIND server-id 选项 配置 服务 器 身份 识别 。 
您 可 定义 一 个 字符 串 标 识 符 或 仅 使 用 主机 名 参数 ， 来 使 用 服务 器 的 主机 名 。 通 过 发 出 
WA qname =” ID. SERVER”, qtype = TXT (qclass=CHAOS) 的 一 条 查询 ， 可 检索 这 
个 值 。 使 用 这 项 挖掘 (dig) 设施 工具 ， 这 看 起 来 像 

dig id. server chaos txt@ < anycast-address > 

也 许 一 种 更 好 的 方式 ， 是 对 一 条 查询 使 用 dig + nsid 参数 ， 所 以 您 可 在 一 次 事务 
中 将 一 条 不 良 的 响应 与 服务 器 身份 识别 相关 。 

dig +nsid < query > @ < anycast-address > 


要 了 解 有 关 任 意 播 配置 的 更 多 细节 ， 请 见 参考 文献 [137, 138]. 





O 出 于 管理 目的 ,每 台 任意 播 服务 器 将 要 求 一 个 单 播 地 址 ， 但 为 了 支持 动态 区 域 ， 要 求 为 一 个 接口 
提供 一 个 附加 的 单 播 地 址 ， 用 于 更 新 、 通 知 和 区 域 传递 。 
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11.8 将 所 有 情况 整合 起 来 


在 本 章 我 们 给 出 许多 构造 块 场景 ,解决 处 理 各 种 配置 ， 每 种 配置 都 将 目标 锁定 在 
解决 一 个 特定 的 DNS 解析 目的 。 取 决 于 您 所 在 IP 网 络 的 尺寸 和 规模 ， 您 可 选择 为 您 
网 络 上 的 不 同 应 用 实现 几 种 构造 块 场景 。 仅 需要 记 住 ， 不 存在 真正 的 曲 奇 饼 成 型 刀 式 
的 答案 ;这些 场景 中 的 每 种 场景 都 应 该 依据 您 的 个 体 需求 而 进行 评估 。 这 里 的 目的 是 
以 一 种 模块 化 的 形式 提供 一 些 指 南 ， 以 便 帮 助 简 化 整体 的 部 署 设计 过 程 。 

我 们 有 意 地 定义 这 些 场景 构造 块 中 的 每 个 构造 块 ， 它 们 具有 其 自己 的 离散 DNS 
服务 器 集合 。 这 种 基于 角色 的 方法 有 助 于 模块 化 ， 但 也 有 助 于 排 错 和 管理 安全 策略 。 
比如 使 用 同一 台 服 务 器 处 理 内 部 和 外 部 解析 ， 这 是 一 种 方法 ， 与 此 方法 不 同 ， 将 这 些 
功能 隔离 在 多 台 服 务 器 间 的 做 法 ， 则 提供 了 物理 上 的 和 功能 上 的 隔离 。 

多 数组 织 机 构 将 部 署 最 小 化 的 外 部 DNS 场景 (外 部 -外 部 分 类 ) 和 内 部 DNS (内 
部 -内 部 ) 构造 块 。 拥 有 合作 方 的 那些 组 织 机 构 也 添加 外 部 网 场景 ， 以 便 涵盖 进入 的 
和 外 发 的 查询 解析 。 因 特 网 缓存 服务 器 可 以 这 样 部 署 ， 即 支持 外 发 因特网 解析 的 汇 至 
集中 ， 并 随时 间 推 移 构建 形成 丰富 的 缓存 信息 。 可 依据 您 的 需要 ， 也 可 配置 视图 和 / 
或 任意 播 。 场 景 组 合 的 潜在 数量 是 无 穷尽 的 。 图 11-11 形象 地 展示 了 IPAM 全 球 公司 
整体 DNS 基础 设施 的 一 种 可 能 状态 。 







172.16.1.5-6 | 
隐藏 的 主 服务 器 | 
外 部 名 字 空 间 
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图 11-11 IPAM 全 球 公 司 的 DNS 服务 器 部 署 





第 12 音 保障 DNS 安全 (E) 


12.1 DNS 弱点 

如 我 们 已 经 看 到 的 ，DNS 是 几乎 每 项 IP 网 络 应 用 可 用 性 的 基础 ， 这 些 应 用 从 网 
页 浏览 、 电 子 邮件 直至 多 媒体 应 用 等 。 使 DNS 服务 不 可 用 的 一 次 攻击 ， 或 攻击 对 包 
AF DNS 内 部 数据 完整 性 的 修改 ， 实 际 上 这 些 可 能 造成 一 项 应 用 或 网 络 的 不 可 达 。 
明显 的 是 ， 在 整个 解析 过 程 中 ， 对 DNS 数据 和 DNS 通信 的 保护 ， 是 至 关 重 要 的 。 本 
章 将 焦点 放 在 从 总 体 角度 来 看 DNS 内 部 的 潜在 安全 弱点 上 。 特 定 的 DNS 服务 器 实现 
可 能 包含 其 他 弱点 ， 例 如 与 任何 网 络 服务 器 或 应 用 、 操 作 系统 监测 及 关联 的 软件 弱 
点 ， 这 是 一 个 基本 运行 过 程 。 

在 讨论 DNS 安全 弱点 时 ， 考 虑 DNS 内 的 数据 源 和 数据 流 ， 是 有 启发 指导 意义 的 ， 
如 图 12-1 所 示 。 从 图 的 右上 角 开 始 ，DNS 服务 器 最 初 被 配 有 配置 和 区 域 文件 信息 。 
这 个 配置 步骤 可 使 用 一 个 文本 编辑 器 或 一 个 PAM 系统 来 实施 。 对 于 微软 的 实现 而 
言 ，“IPAM 系统 ”就 是 微软 管理 控制 台 (MMC) 。 要 求 进行 服务 器 参数 和 相关 区 域 的 
配置 。 


DHCP 服务 器 IPAM 系统 










递归 的 DNS 权威 的 DNS | 
服务 器 服务 器 ( 主 ) | 


7 





权威 的 DNS 


Sg D 
服务 器 (从属 入 ei 


图 12-1 DNS 数据 存储 和 更 新 源 '1!] 


对 于 BIND 实现 而 言 ， 这 个 配置 由 主 服 务 器 上 一 个 named. conf 文件 和 关联 的 区 域 
文件 组 成 。 虽 然 一 台 服务 器 可 能 是 一 些 区 域 的 主 服 务 器 和 其 他 区 域 的 从 属 服务 器 ,但 
我 们 将 使 用 主 服务 器 术语 (terminology) 来 估计 一 个 特定 区 域 有 关 信 息 的 弱点 。 从 属 
服务 器 的 配置 仅 要 求 创建 配置 文件 ， 它 定义 了 服务 器 的 配置 参数 及 其 特定 区 域 的 权威 
权限 。 从 属 服务 器 将 区 域 信息 从 相应 主 服务 器 传递 过 来 。 
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区 域 信息 也 可 由 外 部 源 进 行 更 新 ， 特 别 是 由 DHCP 服务 器 进行 更 新 。 动 态 更 新 可 
为 各 客户 端 接受 ， 这 些 客户 端 得 到 动态 IP 地 址 ， 这 些 IP 地 址 要 求 进行 地 址 到 名 字 映 
射 的 DNS 更 新 。 典 型 情况 下 ,这些 更 新 源 于 DHC 服务 器 指派 地 址 的 过 程 ， 并 将 被 
定向 到 作为 给 定 区域 主 服务 器 的 服务 器 。 主 服务 器 将 该 更 新 添加 到 它 的 日 志文 件 ， 之 
后 会 将 更 新 通知 它 的 从 属 服务 器 ， 从 属 服务 器 可 能 请 求 一 次 增 量 式 的 区 域 传递 ， 以 便 
捕获 更 新 过 的 区 域 信息 。 

因此 ， 直 接 通过 区 域 文件 编辑 或 由 一 个 IPAM 系统 ， 并 通过 区 域 传递 和 动态 更 新 
的 方法 ， 可 在 一 台 名 字 服 务 器 上 配置 权威 区 域 信息 ， 得 到 几 个 潜在 的 数据 源 和 数据 更 
新 通信 路 径 。 

除了 配置 信息 和 区 域 文件 外 ， 一 台 DNS 服务 器 内 的 第 三 个 信息 库 是 它 的 缓存 。 
通过 一 个 查询 解析 过 程 ， 积 累 得 到 缓存 信息 。 当 查询 答案 被 查找 和 接收 时 ， 相 应 的 答 
案 就 被 服务 器 缓存 。 被 缓存 的 信息 不 仅 可 从 DNS 协议 消息 的 答案 节 得 到 ， 而 且 可 从 
权威 节 和 附加 节 得 到 。 据 称 ， 这 些 节 提供 权威 服务 器 信息 和 对 答案 提供 补充 的 信息 。 
这 个 信息 可 包括 相关 区 域 的 权威 服务 器 以 及 与 查询 有 关 的 其 他 信息 (例如 一 条 NS 查 
询 的 A/AAAA“ 黏 结 ” 记 录 ) 。 

在 图 12-1 节 左 侧 开 始 的 查询 解析 流 ， 开 始 时 ， 客 户 端 解析 器 向 其 递归 服务 器 发 
起 一 条 递归 查询 。 回 顾 一 下 ， 要 查询 的 目标 服务 器 ， 是 定义 在 客户 端的 解析 器 配置 中 
的 、 人 工 管理 或 通过 DHC 管理 的 。 必 要 情况 下 ,递归 服务 器 通过 域 树 将 发 出 迭代 查 
询 来 解析 查询 ， 一 般 情况 下 ， 终 止 于 一 台 服 务 器 ， 它 是 对 应 于 该 查询 区 域 的 权威 。 主 
服务 器 或 任何 从 属 服务 器 是 带 有 区 域 信息 的 权威 服务 器 。 权 威 服务 器 在 响应 的 附加 节 
中 ， 以 答案 和 可 能 的 有 关 信 息 做 出 应 答 。 一 般 情 况 下 ， 和 解析 器 一 样 ， 递 归 服 务 器 将 
缓存 这 个 信息 。 这 个 缓存 的 依据 是 用 于 类 似 的 未 来 查询 ， 以 便 改 进 解析 性 能 。 所 以 确 
保 返 回 给 解析 器 和 递归 服务 器 ( 即 两 种 解析 器 一 一 在 客户 端 中 的 桩 解析 器 和 递归 服 
务 器 内 的 解析 器 ) 的 信息 的 数据 完整 性 是 重要 的 。 

现在 ， 让 我 们 研究 一 下 这 个 信息 和 通信 模型 的 弱点 。RFC 3833"” 透彻 地 讨论 了 
DNS 协议 和 信息 完整 性 的 各 种 弱点 。 我 们 这 里 将 总 结 那些 弱点 以 及 一 些 其 他 的 弱点 ， 
之 后 研讨 缓解 策略 。 


12.1.1 解析 攻击 


(1) 报 文 截获 或 伪造 〈spoofing) 。 像 其 他 客户 端 / 服 务 器 应 用 一 样 ，DNS 容易 受 
到 “中 间 人 ”攻击 ， 其 中 一 名 攻击 者 对 一 条 DNS 查询 做 出 响应 ， 给 出 错误 的 或 误导 
的 附加 信息 。 攻 击 者 伪造 DNS 服务 器 响应 ， 引 导 客 户 端 来 解析 并 缓存 这 个 信息 。 这 
可 能 导致 被 劫持 的 解析 器 因此 支持 应 用 到 不 正确 的 目的 地 (例如 网 站 ) 。 

(2) ID 猜测 或 查询 预测 。 另 一 种 形式 的 恶意 解析 是 ID 猜测 。 和 在 UDP 报 文 首 
部 ID 一样，DNS 报 文 首部 的 ID 字段 是 16bit 长 的 。 如 果 一 名 攻击 者 可 提供 带 有 正确 
ID 字段 和 UDP 端口 号 的 一 条 响应 ， 则 解析 器 将 接受 该 响应 。 这 会 使 攻击 者 能 够 提供 
伪造 的 结果 ， 其 中 假定 的 是 攻击 者 已 知 或 猜测 到 查询 类 型 、 类 和 名 字 。 这 种 攻击 可 潜 
在 地 将 主机 重 定向 到 一 个 违法 的 站 点 。 即 使 采用 蛮 力 攻击 方法 ,猜测 一 个 2” 数 也 是 
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相对 容易 的 。 

(3) 名 字 链 或 缓存 毒化 。 这 种 报 文 截获 类 型 攻击 的 特征 是 ,一 名 攻击 者 通常 在 
DNS 响应 报 文 的 附加 节 或 其 至 权威 (Authority) 节 提 供 补充 解析 信息 ， 因 此 就 以 恶意 
的 查询 信息 对 缓存 实施 了 毒化 。 这 可 能 是 (例如 ) 尝试 伪造 一 个 流行 的 网 站 (例如 
cnn. com, google. com 或 类 似 域名 ) ， 所 以 当 请 求 这 样 的 一 条 查询 时 ,解析 器 将 依赖 于 
这 种 伪造 的 缓存 信息 。 当 解析 器 被 请 求解 析 这 样 的 一 条 查询 时 ， 它 将 访问 其 缓存 ， 并 
利用 恶意 信息 ， 本 质 上 会 将 客户 端 重 定 向 到 攻击 者 设计 的 (intended) 目的 地 。 强 迫 
解析 器 访问 被 毒化 缓存 数据 的 另 一 种 方法 ， 是 提供 一 个 电子 邮件 链接 ， 当 单 击 该 链接 
时 ， 将 会 解析 到 设计 好 的 被 毒化 的 主机 名 。 所 谓 的 Kaminsky DNS 弱点 就 是 一 种 缓存 
毒化 的 攻击 类 型 。 

(4) 解析 器 配置 攻击 。 在 客户 端 上 的 解析 器 必须 被 配置 至 少 一 个 DNS 服务 器 IP 
地 址 ， 可 向 该 地 址 发 出 DNS 查询 。 这 种 配置 可 按 如 下 进行 ， 人 工地 将 DNS 服务 器 IP 
地 址 硬 编码 到 TCP/IP 的 协议 栈 ， 或 通过 DHCP 或 PPP 自动 地 得 到 。 这 种 类 型 的 攻击 
也 可 能 源 于 一 名 攻击 者 ， 例 如 ， 它 通过 一 个 web 插件 发 起 的 。 这 种 类 型 的 攻击 寻求 将 
解析 器 重 定向 到 一 名 攻击 者 的 DNS 服务 器 来 解析 到 恶意 数据 。 


12.1.2 配置 攻击 和 服务 器 攻击 


(1) 动态 更 新 。 通 过 尝试 到 服务 器 的 一 条 动态 更 新 ， 一 名 攻击 者 可 能 尝试 向 一 
个 DNS 区 域 中 注入 数据 或 修改 数据 。 这 种 类 型 的 攻击 ， 尝 试 将 来 自 客户 端 查询 预期 
目的 地 的 解析 ， 重 定向 到 一 个 攻击 者 指定 的 目的 地 。 

(2) 区 域 传递 。 冒 充 一 台 从 属 服务 器 ， 并 尝试 实施 从 一 台 主 服务 器 的 一 次 区 域 
传递 ， 这 种 做 法 是 这 样 一 种 形式 的 攻击 ， 它 尝试 映射 区 域 或 对 区 域 做 上 踪迹 。 即 通过 
识别 主机 到 IP 地 址 的 映射 以 及 其 他 资源 记录 ,攻击 者 尝试 识别 可 直接 攻击 的 目标 。 
使 用 主机 名 作为 一 个 提示 信息 (例如 “工资 表 ” (payroll) ) ， 来 攻击 一 台 特 定 主机 ， 
提供 了 尝试 访问 服务 或 拒绝 服务 (DOS) 的 一 个 简易 目标 。 

(3) 服务 器 配置 。 一 名 攻击 者 会 尝试 得 到 运行 DNS 服务 器 的 物理 服务 器 的 访问 
权限 。 在 本 地 或 远程 访问 服务 器 时 ， 要 求 提供 一 次 登录 和 口令 ， 对 于 对 抗 直 接 服务 器 
访问 ,高 度 推荐 使 用 这 种 做 法 。 对 于 远程 访问 ， 也 推荐 使 用 安全 外 壳 (SSH). Sh 
用 一 个 IPAM 系统 时 ， 验 证 IPAM 到 DNS 服务 器 间 的 通信 是 安全 的 。 除 了 能 够 自 改 命 
名 和 区 域 信息 外 ， 这 种 类 型 的 攻击 当然 可 使 用 服务 器 作为 其 他 目标 的 一 块 垫 脚 石 ， 特 
别 当 这 台 服 务 器 恰巧 为 内 部 所 信任 时 尤其 如 此 。 

(4) 控制 通道 攻击 。 对 nde 或 mde 通道 的 访问 ,提供 了 强大 的 远程 控制 能 力 ， 
例如 停止 /终止 进程 (named)、 重 新 调和 一 个 区 域 等 。 访 问 控制 通道 ， 并 停止 服务 ， 
因此 就 拒绝 了 对 查询 服务 器 和 解析 器 的 服务 。 

(5) 缓冲 溢出 和 操作 系统 攻击 。 通 过 使 代码 执行 栈 或 缓冲 溢出 ， 一 名 攻击 者 可 
尝试 得 到 对 服务 器 的 访问 。 在 没有 涉及 细节 的 情况 下 ， 这 样 一 种 攻击 调用 一 个 子 例 
程 ， 该 例 程 返回 到 由 攻击 者 定义 的 主 程序 中 的 一 个 点 。 这 是 几 种 类 似 0S (操作 系统 ) 
级 攻击 的 一 个 范例 ， 它 利用 的 是 DNS 服务 在 其 上 运行 的 0S 弱点 。 
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(6) 配置 错误 。 典 型 情况 下 ， 虽 然 不 是 恶意 的 〈 但 多 数 攻击 是 从 内 部 源 发 起 
的 ) DNS 服务 和 /或 区 域 信 息 的 误 配 置 ， 会 导致 不 正确 的 解析 或 服务 器 行为 。 


12.1.3 拒绝 服务 攻击 


(1) 拒绝 服务 。 像 其 他 网 络 服务 一 样 ，DNS 对 于 拒绝 服务 攻击 也 是 脆弱 的 ， 这 
种 攻击 的 特征 是 ， 一 名 攻击 者 向 一 台 服 务 器 发 送 数 千 条 报 文 ， 希 望 过 载 该 服务 器 ， 导 
致 它 的 崩溃 或 对 其 他 查询 器 是 不 可 用 的 。 该 项 服务 就 成 为 不 可 用 的 ， 因 此 拒绝 对 其 他 
查询 器 的 查询 做 出 响应 。 

(2) 分 布 式 拒绝 服务 。 这 种 类 型 ( 指 上 一 条 所 提 到 的 ) 攻击 的 一 个 变种 是 ,使 
用 多 个 分 布 式 攻击 点 ， 被 称 作 分 布 式 拒绝 服务 (DDOS) 攻击 。 虽 然 规 模 较 大 ， 但 意 
图 是 相同 的 ， 可 能 潜在 地 影响 数 台 服务 器 。 

(3) 反射 器 攻击 。 这 种 形式 的 攻击 ， 尝 试 使 用 DNS 服务 器 对 一 个 特定 目标 发 起 
海量 的 数据 ， 因 此 拒绝 目标 机 器 的 服务 。 攻 击 者 向 一 台 或 多 台 DNS 服务 器 发 出 许多 
条 查询 ， 在 每 条 DNS 查询 中 使 用 目标 机 器 的 IP 地 址 作为 源 IP 地 址 。 对 带 有 大 量 数 据 
的 记录 (例如 NAPTR、EDNS0 和 DNSSEC) 查询 ， 会 放大 这 种 攻击 。 每 台 做 出 响应 
的 服务 器 ， 均 以 目标 为 伪造 P 地 址 处 的 “请 求 者 ”， 以 大 量 数据 流 淹 没 这 个 目标 。 


12.2 缓解 方法 


在 下 表 中 总 结 了 解决 这 些 弱 点 的 策略 。 一 般 而 言 ， 您 应 该 对 来 自 厂商 的 弱点 报告 
做 成 表格 ， 并 当 修 正和 升级 可 用 时 ， 实 施 修正 和 升级 。 对 隐藏 服务 器 的 部 署 策略 ， 以 
及 一 般 而 言 的 部 署 基 于 角色 的 DNS 服务 器 ， 在 第 11 章 中 所 讨论 的 攻击 的 缓解 方面 ， 
也 是 有 效 的 。 我 们 将 在 下 一 章 详细 讨论 DNSSEC, 


弱 A 缓解 措施 


DNSSEC 提供 了 这 个 弱点 的 有 效 缓解 措施 ,方法 是 提供 : 
1) 源 认 证 :数据 源 的 验证 
报 文 劫持 /伪造 2) 数 据 完整 性 验证 一 一 接收 到 的 数据 与 区 域 文 件 中 发 布 的 数据 是 
相同 的 
3) 存 在 性 的 经 认证 的 拒绝 一 一 所 查找 的 资源 记录 不 存在 


DNSSEC 有 效 地 缓解 这 个 弱点 ;另外 ,BIND 9 对 DNS 首部 消息 ID 
做 随机 化 处 理 ,目的 是 降低 在 一 条 虚假 响应 中 猜测 其 值 的 概率 。 自 
2008 年 7 月 中 旬 起 ,BIND 也 在 外 发 查询 上 对 UDP 端口 号 做 随机 化 
处 理 , 目 的 是 降低 这 个 弱点 的 风险 


为 了 阻止 这 些 弱 点 ,DNSSEC 提供 了 源 认证 和 数据 完整 性 验证 ; 另 
外 ,BIND 对 缓存 和 附加 节 缓 存 激活 和 清除 间隔 的 指令 ( directive ) 也 
是 有 帮助 的 ;事务 ID 和 UDP 端口 随机 化 也 有 助 于 降低 这 项 弱点 的 
风险 


通过 DHCP 来 配置 DNS 服务 器 ;为 了 查找 误 配置 或 异常 ,检测 或 周 
期 地 审计 各 客户 端 


ID 猜测 /查询 预测 


名 字 链 /缓存 毒化 


解析 器 配置 攻击 
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( 续 ) 
弱 点 缓解 措施 
$ Æ allow- update, allow- notify notify- source 上 使 用 ACL( 访 问 控制 列 
态 
E 表 ) 。 对 于 附加 的 源 认 证 ,ACL 也 可 定义 为 要 求 事务 签名 
在 allow-transfer 上 与 TSIG( 事 务 签名 ) 一 起 使 用 ACL; 对 于 区 域 传 
违法 的 区 域 传递 递 ,使 用 transfer-source IP 地 址 、 端 口 使 用 一 个 非 标准 端口 
1) 使 用 隐藏 的 主 服 务 器 来 禁止 对 区 域 主 服务 器 的 检测 
2) 在 主 服务 器 和 所 有 外 部 DNS 服务 器 上 禁止 (disallow) 递归 查 询 
服务 器 攻击 /支持 3 ) 使 服务 器 操作 系统 保持 最 新 
4) 限 制 端口 或 控制 台 访问 权限 
5) 实 施 chroot 
控制 通道 攻击 在 控制 语句 内 使 用 ACL, 来 约束 谁 能 实施 mde 命令 ;要 求 mde 
密 钥 
缓冲 溢出 和 OS 级 攻击 保持 OS 最 新 ,限制 缓存 .附加 缓存 尺寸 ,并 定义 缓存 的 清除 间隔 
使 用 checkzone 和 checkconf 设施 工具 以 及 带 有 错误 检查 的 一 个 
Named i 
“med( 命 名 的 ) 服 务 误 配置 。 | IpAM 系统 ;如 果 需 要 的 话 ,为 重新 载 人 保持 新 的 备份 
1) 使 用 速率 限制 以 及 各 种 参数 (例如 recursive- clients. max- clients- 
拒绝 服务 per- query , transfers- in, transfers- per-ns、 缓 存 和 附加 缓存 尺寸 ) 来 限制 


通信 

2) 考 虑 任意 播 部 署 

1 ) 使 用 allow- query/allow-recursion ACL 
反射 器 攻击 2) 如 果 合 适 的 话 ,使 用 视图 
3) 如 果 可 能 的 话 ,在 查询 上 要 求 使 用 TSIG 














12.3 非 DNSSEC 安全 记录 


我 们 将 在 下 一 章 讲 解 DNSSEC， 但 以 讨论 其 他 面向 安全 的 资源 记录 类 型 对 DNS- 
SEC 安全 的 铺垫 一 章 (MARR) 做 出 小 结 。 


12.3.1 TSIG 一 一 事务 签名 记录 


在 RFC 2845"”! 中 定义 的 事务 签名 (TSIG)， 使 用 共享 秘密 密 钥 来 建立 两 个 DNS 
实体 (不管 是 两 台 服 务 器 或 一 台 客户 端 和 一 台 服 务 器 ) 之 间 的 信任 关系 。TSIG 提供 
端点 认证 和 数据 完整 性 检查 ， 并 可 被 用 来 对 动态 更 新 和 区 域 传递 签名 。TSIG 密 钥 必 
须 被 安全 保护 ， 并 人 工地 配置 在 每 个 通信 端点 。 

通过 在 一 条 DNS 消息 的 附加 节 内 包括 一 个 元 资源 记录 类 型 “TSIG”， 就 可 使 用 
TSIG 密 钥 来 签名 一 个 事务 。 类 似 于 用 于 EDNS0 的 OPT 资源 记录 类 型 ， 一 条 元 资源 记 
录 被 用 来 在 一 次 查询 /解析 事务 过 程 中 传递 附加 信息 ， 且 不 包括 在 一 个 区 域 文 件 本 身 
之 中 。 如 此 ， 这 些 资源 记录 没有 被 缓存 ， 对 要 求 签名 的 消息 是 动态 计算 得 到 的 。 

TSIG 元 资源 记录 的 格式 如 下 : 
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算法 名 签名 时 间 漂移 时 间 MAC 尺寸 MAC 原始 
ID 错误 其 他 数据 长 度 其 他 数据 

HMAC-MD5. SIG- ALG. REG. INT 23290332 600 32 
p19… 5076 0 0 






BAZ 








k1-k2 ipamww. com. 





TSIG 元 记录 内 的 RData 字段 定义 如 下 。 

(1) 算法 名 。 以 域名 格式 表示 的 散 列 算法 名 。 当 前 由 IANA 定义 的 确定 算法 
如 下 。 

1) HMAC-MD5. SIG- ALG. REG. INT (HMAC-MDS5) 。 

2) GSS-TSIG, 

3) HMAC-SHA1, 

4) HMAC-SHA224, 

5) HMAC-SHA256, 

6) HMAC-SHA384, 

7) HMAC-SHAS512, 

(2) 签名 时 间 。 签 名 时 间 ， 是 自 1970 年 1 月 1 日 UTC (世界 标准 时 间 ) 时 间 以 
来 的 秒 数 。 

(3) 漂移 时 间 (fudge)。 在 签名 时 间 字段 内 允许 的 漂移 秒 数 。 

(4) MAC 尺寸 。 以 字 节 为 单位 表示 的 MAC KE, 

(5) MAC。 消 息 认 证 码 ， 包 含 被 签名 消息 的 一 个 散 列 。 

(6) 原始 ID。 原 始 消 息 的 ID 号。 如果 一 条 更 新 被 转发 ， 则 被 转发 消息 中 的 消息 
ID 可 能 不 同 于 原始 消息 的 ID。 这 样 做 可 使 接收 者 在 重 构 原 始 消息 过 程 中 ,利用 原始 
消息 ID 进行 签名 验证 。 

(7) 错误 。 对 TSIG 有 关 的 错误 编码 ( 见 表 9-1) 。 

1) BADSIG; 无 效 密 钥 。 

2) BADKEY; 未 知 密 钥 。 

3) BADTIME; 签名 的 时 间 超 出 漂移 范围 。 

(8) 其 他 数据 长 度 。 以 字 节 为 单位 表示 的 其 他 数据 节 的 长 度 。 

(9) 其 他 数据 。 除 非 错误 =BADTIME 情况 下 ， 为 空 。 在 错误 = BADTIME 时 ， 服 
务 器 将 在 这 个 字段 中 包括 它 的 当前 时 间 。 

基于 被 签名 的 消息 ， 构 造 TSIG 元 资源 记录 。 产 生 一 个 摘要 ， 方 法 是 将 指定 的 散 
列 算法 应 用 到 消息 ， 并 使 用 这 个 输出 作为 TSIG 资源 记录 的 消息 认证 码 字段 。TSIG 元 
资源 记录 被 添加 到 DNS 消息 的 附加 节 中 。 


12.3.2 SIG (0 ) 一 一 涵盖 空 类 型 的 签名 记录 


事务 签名 的 另 一 种 形式 利用 了 SIC 资源 记录 的 一 种 特殊 情形 ， 它 是 作为 DNSSEC 
的 初始 形式 的 组 成 部 分 而 设计 的 。 后 来 它 被 DNSSECbis 中 的 RRSIG 资源 记录 所 替换 。 
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不 仅 如 此 ， 一 种 特殊 形式 的 SIG 资源 记录 可 独立 地 用 在 DNSSEC 中 ， 用 来 对 更 新 和 区 
域 传递 签名 。SIG 资源 记录 的 格式 如 下 所 示 。 

SIG (0) 表示 法 是 指使 用 涵盖 一 个 空 ( 即 0) 类 型 字段 的 SIG 资源 记录 。 另 外 ， 
RFC 29315 建议 将 属 主 字段 设置 为 根 、TTL 为 0 和 类 为 ANY， 如 下 例 所 示 。 











属 主 TTL 类 类 型 RData 
涵盖 类 型 算法 标签 原始 TIL 超期 起 始 时 间 密 钥 标 


RRSet 域 | TTL | ANY | SIG 
E ”签名 者 ”签名 


0 3 3 86400 20080515133509 20080115133509 30038 ipam- 


ww. com. q8o1… 





0 ANY SIG 











12.3.3 KEY 一 一 密 钥 记录 


KEY ($A) 记录 是 由 DNSSEC 的 最 初 定义 确定 下 来 的 ， 但 后 来 由 DNSKEY 资 

源 记 录 替 换 了 。 但 是 ， 同 时 在 SIG (0) 内 也 使 用 KEY 记录 来 识别 公开 密 钥 ， 以 其 对 
SIG (0) 内 的 签名 解码 。KEY 记录 与 DNSKEY 记录 有 相同 的 格式 。 

属 主 

密 钥 名 


K3941. ipamww. com. 


RData 
标志 协议 算法 BA 
256 3 1 12S9X-weE8F(le… 














12.3.4 TKEY 一 一 事务 密 钥 记 录 


虽然 RFC 2845" 规范 了 TSIG 标准 ， 它 利用 共享 的 秘密 密 钥 ,但 它 没有 提供 一 
种 密 钥 分 发 或 维护 功能 。 为 了 支持 这 项 密 钥 维护 功能 ， 人 们 开发 了 事务 密 钥 (Tran- 
scation Key, TKEY) 元 资源 记录 。 这 个 过 程 开始 时 ， 是 一 个 客户 端 或 服务 器 发 送 一 个 
签名 的 >TKEY 查询 ， 其 中 包括 任意 相应 的 KEY 记录 。 来 自 一 台 服 务 器 的 一 条 成 功 响 
应 ， 将 包括 一 条 TKEY 资源 记录 ， 其 中 包括 一 个 合适 的 密 钥 。 取 决 于 在 TKEY 记录 中 
指定 的 模式 ， 现 在 双方 都 可 确定 共享 的 秘密 。 例 如 ， 如 果 指 定 Diffie-Hellman KA, 
则 交换 Diffie-Hellman 密 钥 ， 双 方 推算 得 到 共享 的 秘密 ， 之 后 用 其 签名 带 有 TSIG 的 
消息 。 

TKEY 元 资源 记录 的 格式 如 下 : 











RData 
算法 名 开始 时 间 超期 时 间 模式 BR BA 
尺寸 ” 密 钥 数据 ”其 他 数据 长 度 ”其 他 数据 


HMAC- MDS. SIG- ALG. REG. INT 23290332 233006564 
2 0 2048 9k)2… 0 








BAL ANY | TKEY 








k1-k2. ipamww. com 









© 是 的 ， 和 在 TSIG 或 SIG (0) 中 一 样 签名 ， 所 以 初始 条 件 下 需要 一 个 密 钥 ， 但 TKEY 提供 删除 或 
更 新 密 钥 的 一 种 方法 。 
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TKEY 元 记录 内 的 RData 字段 定义 如 下 。 

(1) 算法 名 。 以 域名 格式 表示 的 散 列 算法 名 。 由 IANA 定义 的 当前 确定 的 算法 
如 下 。 

1) HMAC-MDS. SIG- ALG. REG. INT (HMAC-MDS) 。 

2) GSS-TSIG, 

3) HMAC-SHA1, 

4) HMAC-SHA224, 

5) HMAC-SHA256, 

6) HMAC-SHA384, 

7) HMAC-SHAS12, 

(2) 开始 时 间 。 密 钥 有 效 性 开始 或 起 始 时 间 ， 以 自 1970 年 1 月 1 日 UTC 以 来 的 
秒 数 表示 。 

(3) 超期 时 间 。 密 钥 有 效 性 超期 或 终止 时 间 ， 以 自 1970 年 1 月 1 日 UTC 以 来 的 
秒 数 表 示 。 

(4) 模式 。 密 钥 指派 的 形式 或 方案 ， 它 可 有 如 下 值 。 

1) 0 = 保留 。 

2) 1 = 服务 器 指派 。 

3) 2 = Diffie-Hellman 交换 。 

4) 3 = GSS- API 协商 。 

5) 4= 解 析 器 指派 。 

6) 5 = 密 钥 删 除 。 

7) 6~65534 = 可 用 的 。 

8) 65535 = 保留 。 

(5) 错误 。 对 TKEY 有 关 的 错误 编码 ( 见 表 9-1)。 

1) BADSIG: 无 效 密 钥 。 

2) BADKEY: 未 知 密 钥 。 

3) BADTIME: 签名 时 间 超 出 起 始 / 超 期 范围 。 

4) BADMODE: 指定 的 模式 不 支持 。 

5) BADNAME: 无 效 密 钥 名 。 

6) BADALG: 指定 的 算法 不 支持 。 

(6) 密 钥 尺寸 。 以 字 节 为 单位 的 密 钥 数据 尺寸 。 

(7) 密 钥 数据 。 即 密 钥 。 

(8) 其 他 数据 长 度 。 没 有 使 用 。 

(9) 其 他 数据 。 没 有 使 用 。 


第 13 3% 保障 DNS 安全 (F): 
DNSSEC 


当 我 签署 一 封 信 或 支票 时 ， 本 质 上 我 在 以 我 的 签名 说 明 我 同意 和 授权 ”。 当 我 签 
署 更 重要 的 文档 时 ， 例 如 一 个 抵押 票据 ， 我 需要 核验 我 的 签名 ， 典 型 情况 下 是 通过 一 
个 公众 公证 人 完成 的 。 公 证 人 验证 我 的 身份 ， 他 也 核验 我 的 签名 ， 一 般 是 采取 这 样 的 
方法 : 将 签名 与 一 份 驾驶 执照 或 护照 签名 比 对 。 通 过 对 我 的 抵押 票据 盖 稚 ， 公 证 人 确 
认 是 我 签署 了 该 文档 ， 因 此 我 的 签名 是 可 被 信任 的 。DNSSEC 以 一 种 类 似 的 宽松 方式 
发 挥 作 用 。 一 个 解析 器 或 递归 服务 器 ， 代 表 一 个 桩 解析 器 ， 接 收 解析 数据 ， 还 有 该 数 
据 上 的 一 个 签名 。 只 要 我 信任 签名 人 ， 那 么 我 就 可 以 使 用 签名 来 验证 数据 。 信 任 的 元 
素 要 求 以 被 信任 密 钥 的 形式 ,来自 签 名 人 的 信任 信息 的 某 种 初始 配置 ， 信 任 密 钥 被 用 
来 验证 所 接收 数据 的 签名 人 是 值得 信任 的 。 如 果 我 不 直接 信任 签名 人 ， 则 我 需要 查找 
签名 验证 ， 方 法 是 查找 我 信任 的 一 个 实体 ， 它 将 “担保 ”签名 人 。 不 但 我 的 抵押 公 
司 不 信任 我 ， 而 且 他 们 要 求 核验 我 的 签名 。 

DNS 安全 扩展 DNSSEC ， 最 初 是 在 RFC 2535" 中 定义 的 ， 后 来 被 修改 并 重新 命 
名 为 DNSSECbis， 是 在 RFC 4033 ~ 40350 2 中 定义 的 。 这 次 重新 修改 是 由 于 原始 
规范 的 扩展 性 问题 。 虽 然 仍 然 一 定 程 度 得 到 改正 ，DNSSECbis 在 此 之 后 仍 被 简单 称 作 
DNSSEC， 它 提供 了 在 DNS 内 对 解析 数据 源 的 认证 以 及 验证 那个 数据 完整 性 的 方法 。 
DNSSEC 也 提供 了 一 种 认证 DNS 数据 不 存在 的 方法 ， 这 也 允许 对 “没有 找到 ”解析 
(例如 NXDOMAIN) 实施 签名 。 因 此 ，DNSSEC 支持 对 报 文 动 持 检 测 、ID 猜测 和 对 解 
析 数 据 和 “没有 找到 ”解析 的 缓存 毒化 攻击 。DNSSEC 通过 使 用 非 对 称 公 开 密 钥 密 码 
学 技术 来 提供 这 些 服务 ， 实 施 数据 原始 认证 和 端 到 端 数据 完整 性 验证 。 


13.1 数字 签名 


我 们 在 第 10 章 DKM 的 上 下 文中 ,介绍 了 数字 签名 产生 和 验证 的 概念 和 过 程 ， 
但 在 这 里 出 于 方便 查看 的 目的 ， 我 们 将 简短 地 回顾 一 下 。 数 字 签 名 使 一 个 给 定数 据 集 
的 源 发 者 ， 使 用 一 个 私有 密 钥 对 数据 签名 ， 从 而 使 接收 数据 和 签名 ， 以 及 用 于 解密 签 
名 的 一 个 对 应 公开 密 钥 的 那些 接收 方 ， 可 实施 数据 源 发 和 完整 性 验证 。DNSSEC 使 用 
一 个 非 对称 密 钥 对 〈 私 有 密 钥 / 公 开 密 钥 ) 模型 。 在 这 样 一 个 模型 中 ， 采 用 一 个 私有 
密 钥 签名 的 数据 可 通过 采用 对 应 的 公开 密 钥 对 数据 解密 的 方法 ， 来 加 以 验证 。 私 有 密 
钥 和 公开 密 钥 形成 一 对 密 钥 。 从 概念 上 来 说 ， 私 有 /公开 密 钥 对 为 公开 密 钥 的 持 有 者 
提供 了 验证 数据 的 一 种 方法 ， 该 数据 是 使 用 相应 的 私有 密 钥 签名 的 。 这 提供 了 数据 确 


@@” 这 个 基本 介绍 来 自 参考 文献 [11] 的 第 9 章 ， 其 中 的 高 层 描述 在 本 章 得 到 了 比较 详细 的 扩展 讨论 。 
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实 是 由 私有 密 钥 持 有 者 签名 的 认证 。 数 字 签 名 也 支持 这 样 的 验证 ， 即 所 接收 的 数据 匹 
配 发 布 的 数据 ， 且 在 中 转 过 程 没有 被 算 改 。 

见 图 13-1， 数 据 源 发 者 ， 如 图 左 侧 所 示 ， 产 生 一 个 私有 密 钥 / 公 开 密 铀 对 ， 并 利 
用 私有 密 钥 对 数据 签名 。 签 名 数据 的 第 一 步 是 产生 该 数据 的 一 个 散 列 ， 有 时 也 被 称 作 
一 个 摘要 。 散 列 函 数 是 一 种 单 向 函数 ” ， 它 将 数据 扰乱 成 一 个 固定 长 度 的 字符 串 ， 以 
便 进行 比较 简单 的 操作 运算 ， 并 代表 数据 的 一 个 “指纹 ”。 这 意味 着 ， 要 想 另 一 个 数 
据 输 入 可 产生 相同 的 散 列 值 ， 是 非常 不 可 能 的 情况 。 因 此 ， 散 列 通常 被 用 作 检 验 和 ， 
但 不 提供 任何 原始 认证 〈 知 道 散 列 算法 的 任何 人 均 可 简单 地 对 任意 数据 执行 散 列 运 
算 ) 。 常 见 的 散 列 算法 包括 HMAC-MD5、RSA-SHA-1 和 RSA-SHA-256。 使 用 私有 密 
钥 对 散 列 值 进行 加 密 ， 产 生 签名 。 加 密 算法 以 散 列 值 和 私有 密 钥 为 输入 ， 产 生 签 名 。 

















图 13-1 数字 签名 产生 和 验证 过 程 吕 1 


数据 及 其 相关 联 的 签名 被 传输 到 接收 者 。 注 意 数 据 本 身 没 有 被 加 密 ， 仅 简单 地 被 
签名 。 接 收 者 必须 可 访问 公开 密 钥 ， 它 对 应 于 用 来 签名 数据 的 私有 密 钥 。 在 一 些 情形 
中 ,使 用 一 个 安全 的 (被 信任 ) 公开 密 钥 分 发 系统 (例如 公开 密 钥 基础 设施 
(PKI) ) ， 使 公开 密 钥 是 可 用 的 。 在 DNSSEC 的 情形 中 ,在 DNS 内 发 布 公开 密 钥 ， 除 
此 外 ,还 有 解析 信息 和 对 应 的 签名 。 

就 和 数据 源 发 者 一 样 ， 接 收 者 计算 所 接收 数据 的 一 个 散 列 值 。 通 过 使 用 源 发 者 的 
公开 密 钥 ， 接 收 者 将 加 密 算 法 施用 到 接收 到 的 签名 。 这 种 运算 是 签名 产生 过 程 的 反 过 
程 ， 并 产生 原始 数据 散 列 作为 它 的 输出 。 这 种 解密 的 输出 ， 即 原始 数据 散 列 值 ， 和 接 
收 者 对 数据 计算 出 的 散 列 进行 比较 。 如 果 相 匹配 ， 则 数据 没有 被 修改 ， 是 私有 密 钥 持 
有 者 对 数据 进行 的 签名 。 如 果 私 有 密 钥 持 有 者 可 被 信任 ， 则 认为 数据 是 经 过 验证 的 。 


13.2 DNSSEC 综述 


DNSSEC 利用 这 种 非 对 称 密 钥 对 的 密码 学 算法 ， 提 供 数 据 源 发 认证 和 端 到 端 数据 
完整 性 确认 。 伪 造 或 沿路 到 目的 地 敌 改 数据 的 任何 尝试 ， 都 将 被 接收 者 检测 到 ， 这 种 
接收 者 是 解析 器 ， 或 比较 典型 情况 下 ， 是 代表 其 自身 的 递归 /缓存 DNS 服务 器 。 这 种 
功能 特征 ， 使 DNSSEC 针对 中 间 人 和 缓存 毒化 攻击 而 言 ， 成 为 一 项 有 效 的 缓解 策略 。 

原始 DNSSECbis 规范 没有 考虑 一 种 安全 的 密 钥 分 发 系统 ， 所 以 一 个 或 多 个 被 信 





O 一 个 单 向 函数 意味 着 ,不 能 从 散 列 值 唯一 地 得 到 原始 数据 。 即 人 们 可 将 一 个 算法 施用 ， 产 生 散 列 
值 ， 但 不 存在 反 向 算法 ， 可 在 散 列 值 上 实施 ， 得 到 原始 数据 。 
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任 密 钥 必须 人 工地 配置 在 解析 器 或 递归 名 字 服 务 器 上 。 但 是 ， 一 个 后 来 的 规范 ， 
RFC 5011 “定义 了 方便 这 个 过 程 的 一 种 方法 ,方法 是 依据 一 个 手工 配置 的 初始 密 
钥 ， 认 证 新 的 和 撤销 的 信任 密 钥 。 这 个 初始 密 钥 用 作 “ 初 始 条 件 ”， 用 在 随 新 密 钥 、 
撤销 密 钥 和 删除 密 钥 的 时 间 向 前 推移 而 推进 的 过 程 。 稍 后 我 们 将 讨论 这 个 自动 化 的 信 
任 密 钥 更 新 过 程 。 无 论 是 人 工 配 置 的 或 是 自动 更 新 的 ， 每 个 信任 密 钥 均 识 别 对 应 于 一 
个 给 定 信 任 区 域 的 公开 密 钥 ， 该 区 域 由 区 域 管理 员 授权 的 。 

这 类 似 于 银行 公证 人 ， 银 行 信任 他 来 验证 我 的 身份 。 毕 竟 ， 任 何 冒 名 顶替 者 均 可 
以 用 一 个 私有 密 钥 签 名 无 效 (非法 ) 的 区 域 数据 ， 并 发 布 对 应 的 数据 、 签 名 和 公开 
密 钥 。 因 此 ， 递 归 服 务 器 必须 预先 配置 一 个 密 钥 或 一 组 密 钥 ， 它 们 是 被 信任 的 ， 对 应 
于 被 信任 的 签名 区 域 。 信 任 区 域 管理 员 所 用 的 当前 公开 密 钥 ， 必 须 以 带 外 方式 传输 到 
解析 器 管理 员 ， 或 使 用 DNS 之 外 的 一 种 机 制 做 到 这 点 。 采 用 刚才 提 到 的 自动 密 钥 更 
新 过 程 ， 针 对 每 个 信任 区 域 ， 必 须 配 置 一 个 初始 密 钥 ; 但 是 ， 使 用 DNS 协议 可 实施 
不 断 进 行 的 密 钥 更 新 。 

一 个 给 定 的 信任 区 域 可 认证 一 个 子 区 域 的 公开 密 钥 ， 将 信任 模型 从 仅仅 是 信任 区 
域 扩展 到 信任 区 域 及 其 所 认证 的 子 区 域 。 类 似 地 ， 这 些 子 区 域 可 认证 它们 的 子 区 域 
等 ， 这 样 就 从 信任 区 域 到 所 有 签名 的 委派 区 域 形成 了 一 个 信任 链 。 随 着 现在 因特网 根 
区 域 被 签名 、 大 型 TLD 被 签名 或 很 快 会 被 签名 ， 则 信任 链 将 从 根 信 任 锚 点 发 出 到 
TLD ， 沿 域 树 向 下 到 较 低层 次 的 被 签名 区 域 。 

信任 密 钥 的 配置 ， 要 求 一 名 区 域 管理 员 得 到 他 的 /她 的 公开 密 钥 ， 产 生 一 个 信任 
关系 。 采 用 一 个 被 签名 的 根 和 TLD (多 个 TLD) ， 这 种 做 法 简化 了 信任 模型 ， 这 要 求 
信任 根 区 域 和 根 区 域 信任 锚 点 的 配置 。 作 为 替代 (实际 上 作为 后 者 的 祖先 之 一 ， 即 先 于 
后 者 ) 使 用 根 区 域 密 钥 ，ISC 也 构造 了 一 个 信任 的 密 钥 注册 机 制 (dlv. isc. org) ， 作 为 注 
册 域 的 被 信任 密 钥 的 一 个 库 ， 这 种 做 法 支持 作为 一 个 “ 父 区 域 代 理 ” 过 程 中 的 “ 旁 查 ” 
(lookaside) 验证 ， 这 降低 了 对 每 个 域 管理 员 形成 个 体 关系 的 外 部 需求 影响 。 

虽然 DNSSEC 规范 没有 明确 要 求 ， 但 从 运营 经 验 得 到 这 样 的 建议 ， 即 每 个 区 域 使 
用 两 个 密 钥 ， 一 个 区 域 签名 密 钥 (ZSK) 和 一 个 密 钥 签名 密 钥 (KSK)。。 如 我 们 后 面 
将 看 到 的 ， 这 加 速 了 复杂 密 钥 轮 转 (rollover) 进程 ， 同 时 在 密 钥 长 度 安全 性 和 复杂 
性 ， 与 依据 需求 灵活 改变 区 域 签 名 秘密 之 间 做 出 了 折 中 。 此 时 ， 可 以 说 ，ZSK 被 用 于 
区 域内 部 签名 数据 ，KSK 是 一 个 较 长 期 的 密 钥 ， 用 其 签名 ZSK。ZSK 和 KSK 均 由 一 
个 公开 密 钥 和 私有 密 钥 对 组 成 。 私 有 密 钥 被 用 来 签名 区 域 信息 ， 必 须 是 得 到 安全 保障 
的 ， 理 想 情 况 下 ， 位 于 一 台 安 全 的 服务 器 或 主机 之 上 。 对 应 的 公开 密 钥 ， 是 以 DNS- 
KEY 资源 记录 的 形式 在 区 域 文件 内 发 布 的 。 

被 信任 区 域 的 公开 KSK 是 配置 在 每 台 递 归 服 务 器 上 的 信任 密 钥 2 ， 它 应 该 匹配 发 


全 ”从 实用 主义 角度 而 言 ， 术 语 “ 解 析 器 ”在 DNSSEC 上 下 文中 是 指 递归 服务 器 的 解析 器 功能 ， 它 也 解析 被 
查询 的 信息 ， 验 证 签名 。 考 虑 第 11 章 中 我 们 的 实施 例 ， 因 特 网 缓存 服务 器 将 执行 这 项 签名 验证 功能 。 

© 在 RFC4641091 中 讨论 了 这 个 建议 的 动机 以 及 其 他 DNSSEC 运营 实务 的 讨论 。 

© “一 个 信任 密 钥 与 一 个 信任 锚 点 是 同 义 的 ， 它 也 被 称 作 DNS 域 树 中 的 安全 人 口 点 (SEP) 。 
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布 于 相应 区 域 文件 中 的 对 应 KSK DNSKEY 资源 记录 。 使 用 区 域 的 ZSK 来 验证 被 解析 
数据 的 签名 ， 被 信任 的 KSK 对 ZSK 签名 ， 并 由 此 可 对 ZSK 的 签名 进行 验证 。 

如 果 不 信 任 这 个 KSK， 则 尝试 检查 父 区 域 是 否 被 签名 ， 或 旁 查验 证 是 否 配置 。 如 
果 被 签名 ， 则 这 个 父 区 域 (或 旁 查 注册 机 制 ) 将 其 到 子 节点 的 委派 实施 签名 ， 方 法 
是 以 父 区 域 中 一 条 委派 签名 者 (DS) 记录 (或 DNSSEC 旁 查 验证 ，DLV 记录 ) WH 
式 ， 对 子 区 域 的 公开 KSK 签名 。 接 下 来 这 个 委派 是 以 父 区 域 的 ZSK 签名 的 ， 而 ZSK 
自己 是 以 父 区 域 的 KSK 签名 的 。 同 样 ， 如 果 这 些 签名 是 有 效 的 ， 且 KSK 匹配 一 个 信 
任 密 钥 ， 则 解析 是 完备 的 和 安全 的 。 和 否则 ， 该 过 程 继续 到 父 区 域 的 父 区 域 等 。 

验证 过 程 沿 信任 链 向 上 ， 直 到 遇 到 一 个 匹配 的 信任 密 钥 ， 如 果 找 到 这 样 的 一 个 密 
钥 ， 则 认为 解析 数据 是 经 过 核验 的 〈validated) 。 否 则 ， 它 将 将 被 认为 是 不 安全 的 。 


13.3 配置 DNSSEC 
实现 DNSSEC 的 过 程 涉 及 生成 私有 /公开 密 钥 对 、 将 公开 密 钥 信息 添加 到 要 被 签 


名 的 区 域 文件 、 以 对 应 的 私有 密 钥 对 区 域 签 名 和 将 公开 KSK 信息 分 发 到 父 区 域 管理 
员 或 解析 器 管理 员 ， 这 些 人 信任 您 和 您 的 区 域 信息 。 图 13-2 形象 地 说 明了 基本 过 程 。 





图 13-2 基本 的 DNSSEC 实现 步骤 01 


现在 让 我 们 形象 地 说 明 这 个 基本 过 程 ， 检 查 研 究 一 下 实现 DNSSEC 的 机 制 。 我 们 
使 用 人 工 的 和 自动 的 ?BIND 方法 和 工具 来 形象 地 说 明 该 过 程 ， 如 今 这 些 方法 和 工 
具 支 持 DNSSECbis。 微 软 在 其 Windows Server 2008 R2 发 行 版 中 支持 DNSSECbis。 在 比 
较 详 细 地 回顾 这 些 步 又 之 后 ， 通 过 签名 ipamworldwide. com 区 域 文件 ， 我 们 将 展示 说 
明 DNSSEC 的 实现 。 


13.3.1 产生 密 钥 


我 们 的 第 一 步 是 产生 密 钥 ,将 用 其 对 我 们 的 区 域 信息 签名 。BIND 发 行 时 带 有 
dnssec-keygen 设施 工具 ， 它 提供 了 产生 一 个 私有 /公开 密 钥 对 的 一 个 简单 命令 行 。 它 
甚至 生成 DNSKEY 记录 。 为 了 生成 我 们 的 ipamworldwide. com 区 域 的 一 个 ZSK 密 钥 对 ， 
我 们 使 用 dnssec- keygen 命令 : 

dnssec-keygen-a RSA-SHA-1-b 1024-n ZONE-c IN-e ipamworldwide. com 

这 个 设施 工具 不 仅 用 来 生成 DNSSEC 密 钥 ， 而 且 可 用 来 生成 TSIG 密 钥 和 KEY ic 
录 。 除 非 明确 指 定 ， 所 有 参数 都 是 可 选 的 ， 在 dnssec-keygen 设施 工具 内 的 参数 包括 
如 下 内 容 。 


© BIND 9.7.0 引 入 了 几 项 新 的 密 钥 和 签名 管理 功能 特征 ， 以 其 使 这 些 步 又 自动 化 ， 就 和 我 们 将 要 描 
述 的 情形 一 样 。 
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(1) -a 算 法 : (必需 的 ) 其 中 DNSSEC 密 钥 的 算法 可 以 是 如 下 内 容 。 

1) RSA-SHA-1。 

2) RSA-SHA-256。 

3) RSA-SHA-512, 

4) NSEC3-RSA-SHA-1 ( 带 有 一 个 符号 (signal) 的 RSA-SHA-1 算法 ， 指 明 以 这 
个 密 钥 签 名 的 区 域 可 使 用 NSEC3 ) 。 

5) DSA (数字 签名 算法 )。 

6) NSEC3DSA ( 带 有 一 个 符号 (signal) 的 DSA 算法 ,指明 以 这 个 密 钥 签名 的 区 
域 可 使 用 NSEC3 ) 。 

7) RSA-MD5。 

(2) -b 密 钥 尺寸 : (必需 的 ) 指定 了 密 钥 中 的 比特 数 。 每 种 算法 的 有 效 密 钥 尺 
寸 如 下 。 

1) RSA-SHA #49, 512 ~ 2048bit。 

2) DSA #49, 512 ~ 1024bit， 可 被 64 整除 。 

(3) -n 名字 类 型 : (必需 的 ) 识别 密 钥 属 主 的 类 型 。 有 效 值 包括 ZONE (对 于 
DNSKEY 是 默认 的 ) HOST, ENTITY, USER 或 OTHER, 

(4) -3: 使 用 支持 NSEC3 的 密 钥 产 生 算 法 (如 果 指 明 没 有 -a 参数 ， 则 使 用 
NSEC3-RSA-1)。RSA-SHA-256 和 RSA-SHA-512 也 是 支持 NSEC3 的 。 

(5) -A 日 期 / 偏 移 : 设置 密 钥 的 激活 日 期 。 当 表示 为 YYYYMMDD 或 YYYYMM- 
DDHHMMSS 格式 (或 没有 设置 时 为 none (无 ) ) 时 ， 日 期 / 偏 移 字 段 是 一 个 绝对 日 期 
/时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 个 “+ ”或 “- ”前缀 时 ， 这 时 日 期 / 偏 移 
字段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 当 没有 设置 时 ， 且 -G 也 没有 设置 时 ， 默 认 是 
“now”( 现 在 时 间 )。 

(6) -C: 产生 私有 密 钥 的 选项 ， 前 提 条 件 是 没有 有 关 生 成 、 发 布 和 /或 激活 日 期 
的 任何 元 数据 ， 这 可 能 与 较 老 的 BIND 版 本 不 兼容 。 

(7) -c 类: 包含 该 密 钥 的 DNS 资源 记录 的 类 。 

(8) -D 日 期 / 偏 移 : 定义 了 这 个 密 钥 从 这 个 区 域 被 删除 时 的 日 期 或 距离 当前 时 
间 的 偏 移 。 当 表示 为 YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 
none (无 )) 时 ， 日 期 / 偏 移 字段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 
有 一 个 “+ ”或 “- ”前 级 时 ， 这 时 日 期 / 偏 移 字 段 是 一 个 距离 当前 时 间 的 一 个 偏 
移 。 在 指定 时 间 ， 该 密 钥 将 从 区 域 被 清除 ， 但 它 将 保留 在 密 钥 库 中 。 

(9) -e: 当 使 用 RSA-MD5 或 RSA-SHA-1 算法 时 ， 使 用 一 个 大 指数 的 命令 选项 。 

(10) -E 引擎 使 用 密码 学 硬件 (OpenSSL 引擎 ) 用 于 随机 数 生 成 和 当 支 持 密 钥 
生成 时 的 命令 选项 。 当 采用 PKCS#11 支持 进行 编译 时 ， 默 认为 pkcsll1， 否则 为 none 
(无 ) 。 

(11) -f 标 志 : 在 DNSKEY (或 KEY) 资源 记录 中 设置 标志 字段 ; 目前 ， 标 志 = 
KSK 被 用 来 产生 一 个 KSK (在 DNSKEY 记录 中 设置 SEP 比特 ) ; 标志 = REVOKE 将 为 
这 个 密 钥 设置 撤销 标志 。 


226 IP 地 址 管理 原理 与 实践 








(12) -g 生成 器 : 为 DH 算法 指定 一 个 密 钥 生成 器 值 。 

(13) -G: 生成 一 个 密 钥 ， 它 不 用 于 发 布 或 用 来 签名 。 

(14) -h: 打印 这 条 命令 的 一 个 帮助 (help) 摘要 。 

(15) -I 日 期 / 偏 移 : 设置 密 钥 退役 (retired) 时 的 日 期 / 偏 移 。 当 表示 为 
YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 none ‘oe 时 ， ital 
偏 移 字段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 yee ne 
前 缀 时 ， 这 时 日 期 / 偏 移 字段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 -ig 密 钥 保留 
在 区 域 中 ,但 不 再 用 来 对 区 域 签名 。 

(16) -k: 指明 要 产生 的 是 一 条 KEY 记录 ， 而 不 是 DNSKEY 记录 ; 为 了 使 用 -T 
选项 ， 这 个 选项 被 废弃 了 。 

(17) -K 目录 : 定义 了 密 钥 文 件 将 被 放置 于 其 中 的 目录 。 

(18) -p 协 议 : 设置 资源 记录 中 的 协议 字段 。 对 于 DNSSEC ， 使 用 默认 值 3。 

(19) -P 日 期 / 偏 移 : 设置 密 钥 在 区 域 文件 中 发 布 (但 并 不 用 来 对 区 域 签名 ) 的 
日 期 / 偏 移 。 当 表示 为 YYYYMMDD 或 YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 
none (无 )) 时 , 日 期 / 偏 移 字 段 是 一 个 绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 
有 一 个 “+” 或 “-” 前 级 时 ,这 时 日 期 / 偏 移 字段 是 一 个 距离 当前 时 间 的 一 
偏 移 。 

(20) -q: 静默 模式 ， 这 种 模式 抑制 输出 ， 包 括 指明 进度 的 信息 。 

(21) -r 随 机 源 : 指明 一 个 源 或 随机 数据 ， 例 如 一 个 文件 或 字符 设备 〈 例 如 键 
盘 ) 。 

(22) -R 日 期 / 偏 移 : 定义 密 钥 被 撤销 时 的 日 期 。 当 表示 为 YYYYMMDD 或 
YYYYMMDDHHMMSS 格式 (或 没有 设置 时 为 none (无 )) 时 ， 日 期 / 偏 移 字段 是 一 个 
绝对 日 期 /时 间 ; 或 当 以 这 些 日 期 格式 之 一 带 有 一 个 “+ ”或 “- ”前 缀 时 ， 这 时 日 
期 / 偏 移 字 段 是 一 个 距离 当前 时 间 的 一 个 偏 移 。 当 撤销 时 ， 在 相应 DNSKEY 资源 记录 
中 设置 “撤销 ”比特 ,但 密 钥 将 保留 在 区 域 中 并 被 用 来 对 区 域 签名 。 

(23) -s 强度 : 指定 密 钥 的 强度 值 ， 但 不 与 DNSSEC 相关 。 

(24) -t 类 型 : 指明 使 用 密 钥 来 认证 数据 (AUTH) 和 /或 加 密 数据 (CONF). 
AUTHCONF 支持 这 两 项 功能 , 但 NOAUTH, NOCONF 和 NOAUTHCONF 不 支持 对 应 的 
功能 。 

(25) -T rrtype: 以 资源 记录 格式 指明 公开 密 钥 产 生 所 用 的 RRType。rrtype 的 有 
效 值 包括 DNSKEY (默认 ) 或 KEY。 

(26) -v 等 级 : 设置 debug (调试 ) 等 级 。 

(27) BAZ: (必需 的 ) 密 钥 的 名 字 ， 一 般 而 言 是 区 域名 ， 它 可 用 作 DNSKEY 
记录 的 属 主 字段 。 

五 个 基于 日 期 / 偏 移 的 选项 在 BIND 9.7.0 中 是 新 的 ， 并 为 所 生成 的 密 钥 提供 定时 
的 元 数据 ， 因 此 提供 了 在 区 域 签名 过 程 中 被 使 用 的 时 间 人 信息。 因此， 在 密 钥 的 整个 生 
命 周期 中 ， 密 钥 可 被 分 阶段 并 轮转 (oll) 使 用 ， 生 命 周 期 由 在 区 域 中 发 布 的 、 用 于 
签名 区 域 信息 、 撤 销 、 退 役 和 删除 等 阶段 组 成 。 在 一 个 密 钥 的 生命 周期 中 ， 对 这 些 选 
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项 及 其 用 途 进行 简要 描述 ， 如 下 。 

C1) -P。 和 定义 所 生成 密 钥 在 区 域 文件 中 发 布 的 时 间 ， 但 在 签名 中 不 使 用 该 密 钥 。 

(2) -A。 定 义 激 活 时 间 ， 这 是 所 产生 密 钥 被 用 于 签名 区 域 数 据 的 时 间 。 如 果 这 
是 一 个 KSK， 且 update-check-ksk 选项 设置 为 是 ， 则 这 个 密 钥 将 仅 签 名 DNSKEY RR- 
Set。 否 则 ， 它 将 被 用 来 签名 所 有 的 区 域 RRSet， 这 就 允许 单一 区 域 密 钥 实施 的 情形 
出 现 。 

(3) -R。 定 义 这 个 密 钥 被 撤销 的 时 间 。 这 就 定义 了 撤销 标志 将 被 设置 在 相应 的 
DNSKEY 记录 中 的 日 期 。 这 个 密 钥 〈 带 有 设置 好 的 撤销 比特 ) 将 仍然 被 用 来 签名 区 
域 文件 ， 但 解析 器 将 被 通知 “这 个 密 钥 被 撤销 了 ”。 

(4) -I。 定 义 该 密 钥 的 退役 时 间 ， 在 此 时 间 之 后 ， 这 个 密 钥 将 不 被 用 来 签名 区 域 
数据 ， 但 它 将 保留 在 区 域 文件 中 。 

(5) -D。 定 义 密 钥 将 从 区 域 文件 中 删除 的 时 间 。 

这 些 定时 (timing) 选项 使 您 能 够 在 密 钥 生 成 时 就 定义 整个 密 钥 生命 周期 ! 

为 一 种 密 钥 文 件 生成 设施 工具 ， 首 次 被 包括 在 BIND 9.6.0 发 行 版 之 中 ， 它 人 允许 
使 用 PKCS#11° API 与 一 个 密码 学 令 牌 生成 硬件 设备 接口 。dnssec-keyfromlabel 设施 工 
具 从 密码 学 硬件 设备 得 到 密 钥 ， 并 生成 公开 密 钥 和 私有 密 钥 文件 。 这 个 工具 有 如 下 参 
数 ， 和 dnssec-keygen 的 格式 完全 相同 ， 增 加 了 一 个 新 的 必 备 参数 ， 指 明 密 钥 标 签 。 

(1) -a BH: (HH) 与 dnssec-keygen 的 值 相同 。 

(2) -3; 与 dnssec-keygen 的 含义 相同 。 

(3) -c 类 : 与 dnssec-keygen 的 值 相同 。 

(4) -C-: 与 dnssec-keygen 的 含义 相同 。 

(5) -E 5|#: 与 dnssec-keygen 的 值 相 同 。 

(6) -f 标 志 : 与 dnssec-keygen 的 值 相同 。 

(7) -G: 与 dnssec-keygen 的 含义 相同 。 

(8) -C-: 与 dnssec-keygen 的 含义 相同 。 

(9) -h: 与 dnssec-keygen 的 含义 相同 。 

(10) -k: 与 dnssec-keygen 的 含义 相同 。 

(11) -K 目录 : 与 dnssec-keygen 的 含义 相同 。 

(12) -1 标签 : ( 必 备 ) 在 PKCS#11 设备 上 的 密 钥 标签 。 

(13) -n 名 字 类 型 : 与 dnssec-keygen 的 值 相 同 。 

(14) -p 协议 : 与 dnssec-keygen 的 值 相 同 。 

(15) -t 类 型 : 与 dnssec-keygen 的 值 相同 。 

(16) -v 等 级 : 与 dnssec-keygen 的 值 相同 。 

(17) -y: BERA ID 与 一 个 现 有 密 钥 冲 突 ， 也 人 允许 产生 DNSSEC 密 钥 文件 。 

(18) BHA: (YR). 

也 支持 上 面 讨 论 的 元 数据 定时 选项 。dnssec-keygen 和 dnssec-keyfromlabel 都 返回 





O PKCS#H1 是 公开 密 钥 密 码 学 标准 家 族 的 一 员 ， 该 标准 由 RSA 实验 室 发 布 。 
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密 钥 名 。 在 我 们 的 例子 中 ， 结 果 是 
Kipamworldwide. com. + 005 + 14522 
密 钥 名 的 格式 遵循 这 个 惯例 
(1) K〈 用 于 密 钥 ) 。 
(2) 密 钥 名 (ipamworldwide. com) ) 。 
(3) 密 钥 产生 算法 〈 在 这 种 情形 中 是 005 = RSA-SHA-1) 。 
(4) 密 钥 标 签 (tag) 或 密 钥 的 身份 〈14522) 。 
密 钥 标签 提供 了 索引 密 钥 的 一 种 简便 方法 ， 我 们 稍 后 将 看 到 。 由 dnssec-keygen 
或 dnssec-keyfromlabel 产生 两 个 文件 ， 一 个 带 有 扩展 名 . private, 指明 是 私有 密 钥 D 
一 个 带 有 扩展 名 . key， 它 以 一 条 DNSKEY 记录 的 形式 包含 公开 密 钥 。 在 我 们 的 例子 
中 ， 这 两 个 密 钥 文件 如 下 命名 。 
Kipamworldwide. com. +005 +14522. private 
Kipamworldwide. com. +005 +14522. key 
Kipamworldwide. com. t005t14522. private 文 件 包含 私有 和 密 钥 细节 ， 包括 格 nm. A 
法 、 模 块 、 指 数 、 素 数 和 系数 值 ， 如 下 dnssec-keygen 命令 的 输出 (为 了 改进 可 读 性 ， 
插入 了 空 行 ) 所 示 。 
Private- key-format: vl. 2 
Algorithm; 5 (RSASHA1) 
Modulus: 
x6 QAwJiz6hHa/eUI2 pGz6rvwEY pJdil TJH8 Uj41DPTmzseCOgFEqB3/dZB0Q 
5LEs1 ZetAJJEk4F + WecRKwqnIcGkvIKfTC8hn + gbiBAnadQRFLxNMBs6KBOe + 
yqiNK60sbrmn22F8 AYRiG3n2rTQndVtkaZep9 jbcCqfu/DagB10 = 
PublicExponent; AQAAAAE = 
PrivateExponent ; 
CWhegqbbkIx3kRIa7 NyDbdwZYGA83 uBtdfnBTu8 Qy V8/h419T3 fy WrWfko4 wi 
Vys9 ql0 Xmumwy/hSLmZJJrzxS6S VwaM/iEunsyyiHedeVKiMeYV1OlvJ3 + 
OweKy/59y3drJS + qAm + chtrhWZheXtzgR78wp2IK + 4kHAhZTCYGAE = 
Primel ; 
8 YuU4sicmKmu5 Cz4IUjvE2kQit5 pJPV3 yUK04nPz9 POMJFKyCIAdsw2A5 HoRn3 + + 
15 BtDjeQxkDOaFGA4S0fKXQ = = 
Prime2; 
05ZzyiaiZK1 JgQMCgT977 NZkEuKgXI4seTUL1 Wu7Z/FRs/7xHE4 0SJrx7 siwLOx 
WJKec4Fo + 4erVRHioiOadhAQ = = 
Exponent! ; 
Hpy1z37 Usf€ONC V7 Kd/8xu07 PslhtbX7 EFVGRno/dOrWNpS p64hVhF5tbnNBVz 
ZHRQ + 5IZzwMf£Q3A3 + GJY8QQQ = = 
Exponent? ; 
jfw + s9zt8uVMwubwowwx0sjX32G03 VrSPk68 + CisiAVxYS8EdTOqvpYps6 Vz + 
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rJNnnk45urnlgDbWCx2tugyAQ = = 
Coefficient ; 
uUC/aKgEvOQymCmMukC4ExTm/7ly2w31V/NMOF2GzC7fel gY vDZEOX6 YNnz5e8 
PRD2bQXCTgsMorRs7 PJYI2Cg = = 
Kipamworldwide. com. t005t14522. key 文件 理解 起 来 要 比较 容易 点 , 它 包含 我 
们 的 DNSKEY 资源 记录 
ipamworldwide. com. IN DNSKEY 256 3 5 
BQEAAAABx6QAwJiz6hHa/eUI2 pGz6rvwEY pJdil TJH8Uj41DPTmzseCO 
gFEqB3/dZBOQS5LEs1 ZetAJJEk4F + WecRKwqnIcGkvIKfTC8hn + gbiBAn 
adQRFLxNMBs6KBOe + yqiNK60sbrn22F8 AYRiG3n2r1TQndVtkaZep9 jbe 
Cqfu/DagB10 = 
DNSKEY 资源 记录 的 解释 或 格式 描述 如 下 。 


IN DNSKEY 

属 主 字 段 定义 区 域名 。RData 由 如 下 子 字段 组 成 。 

(1) 标志 。 指 明 这 个 密 钥 是 一 个 区 域 密 钥 ( 值 =256)。 当 前 为 标志 字段 定义 的 
值 如 下 。 使 用 如 下 的 十 进 制 值 ， 我 们 看 到 一 个 ZSK 将 有 一 个 标志 值 256， 而 一 个 KSK 
将 有 一 个 奇数 值 ， 像 257 。 

1) 第 7bit。ZSK (十 进 制 =256) 。 

2) 第 8bit。 撤 销 签名 (十进制 =128 ) 。 

3) 第 15bit。KSK 或 安全 入 口 点 (SEP) (十 进 制 =1)。 

4) 其 他 bit。 未 指派 。 

(2) 协议 。 必 须 有 一 个 值 “3”， 指 明 是 DNSSEC (这 是 当前 定义 的 唯一 值 )。 

(3) 算法 。 定 义 密 钥 生成 中 使 用 的 算法 。 当 前 支持 的 算法 编码 如 下 。 

1) 值 =1。RSA-MD5， 依据 RFC4034 ， 不 建议 使 用 该 值 。 






区 域名 






标志 协议 算法 RA 
256 3 5 BQEAAA--- 











ipamworldwide. com. 


2) 值 =2。Diffie- Hellman。 

3) 值 =3。DSA-SHA-1。 

4) 值 =4。 保 留用 于 椭圆 曲线 算法 。 

5) {Ñ =5, RSA-SHA-1, 依据 RFC 4034， 这 是 必 备 的 算法 。 
6) 值 =6。DSA-NSEC3-SHA1。 

7) 值 =7。RSASHA1-NSEC3-SHA1。 

8) 值 =8。RSA-SHA-256。 

9) 值 =10。RSA-SHA-512。 


10) 值 =12。GOST R34. 10-2001。 
11) 值 =252。 间 接 的 。 
12) 值 253-254。 私 有 的 。 
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13) 值 =0，255。 保 留 的 。 
14) 其 他 值 。 未 指派 的 。 
(4) 密 钥 。 公 开 密 钥 (ZSK 或 KSK)。 
现在 我 们 重复 dnssee-keygen 命令 ， 这 时 使 用 -f KSK 参数 ， 还 有 一 个 较 长 的 密 铀 
尺寸 , 来 产生 我 们 的 KSK 对 。 
dnssec-keygen-a RSASHA1-b 2048-n ZONE-c IN-e-f KSK ipamworldwide. com. 
命令 行 对 这 条 命令 的 响应 是 密 钥 对 名 Kipamworldwide. com. t005t06082 。 
产生 所 得 DNSKEY 记录 
ipamworldwide. com. IN DNSKEY 257 3 5 
AwEAAdSAwGoUBhtjpE8 GLGN4ryt8 yEq71DqdE + ij3 boe9 lmvpM02 YZ1/ 
AQxoHbyA7NqgRr + 8dsTM8 OrF2yFRbcP1 y0/9q37T0PqxLs HjAZ8 HrDoW9 
R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR84 CndF5 XvFeh3 HOkVDeTb + 7Q 
RrG7hnph4 P8 w4SMg76tBvxHLFmj3 OdP8 vIUpRAnexEAdclamj1 ZSPjLc 
dICzpDvQB/LLsYxx8 wx2 hOvTvhxZklqmy1 dPBtIZu2 A551 VIrU0xgCJx 
DjJGCgBbrp1 C01tYSdqlA112 HCL8eV7io/CxnCuSThP1XaPLySojJpXU 
gDomWegVYeo0 = 
注意 由 于 设置 了 SEP 标志 ， 所 以 对 于 KSK, 标志 字段 值 为 257， 对 于 ZK, & 
256。 我 们 将 以 其 keyid = 06082 (来 自 所 生成 的 密 钥 名 ) 来 指称 KSK, UH keyid = 
14522 来 指称 ZSK。 


13.3.2 将 密 钥 添加 到 区 域 文件 


在 我 们 对 区 域 签名 之 前 ， 我 们 需要 将 我 们 的 两 条 DNSKEY 资源 记录 包括 在 区 域 
文件 内 。 因 为 密 钥 文件 包含 我 们 的 DNSKEY 资源 记录 ， 所 以 您 可 从 文件 中 前 切 并 粘 
贴 到 区 域 文件 ， 或 简单 地 对 每 个 文件 使 用 一 个 $ INCLUDE 语句 。 

$ INCLUDE Kipamworldwide. com. +005 + 14522. key 

$ INCLUDE Kipamworldwide. com. +005 + 06082. key 

也 不 要 忘 了 增加 您 的 序列 号 。 在 以 dnssec-signzone 设施 工具 对 区 域 签 名 之 前 ， 首 
先 运行 namedcheckzone， 这 是 一 个 好 的 想法 。 


13.3.3 对 区 域 签名 


区 域 签名 过 程 利用 了 另 一 个 BIND 设施 工具 dnssec-signzone， 它 实施 许多 个 功能 
来 对 区 域 签 名 。 首 先 ， 它 规范 化 地 对 区 域内 的 资源 记录 排序 。 从 本 质 上 来 说 ， 这 是 对 
区 域内 的 资源 记录 按 字母 顺序 排列 。 这 有 利于 签名 应 用 以 常见 属 主 名 、 类 和 类 型 将 资 
源 记 录 归 组 到 资源 记录 集合 (RRSet) 。 对 资源 记录 进行 规范 化 排序 的 另 一 个 原因 是 
识别 区 域 文件 内 RRSet 间 的 间隔 (gap) 和 带 有 下 一 个 安全 资源 记录 的 总 体 (popula- 
tion) ， 安 全 资源 记录 提供 在 一 个 区 域内 一 条 给 定 资源 记录 的 经 过 认证 的 存在 性 拒绝 
信息 。 一 条 NSEC3PARAM 资源 记录 必须 存在 于 区 域 文件 中 ， 以 便 在 区 域 签名 过 程 中 
生成 NSEC3 记录 。 
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在 规范 化 排序 和 插入 NSEC [3] 记录 之 后 ，dnssec-signzone 对 区 域 文 件 内 的 RR- 
Set 签名 ， 包 括 DNSKEY RRSet (以 便 被 $ INCLUDE 在 我 们 的 例子 中 ) 和 NSEC [3] 
RRSet。 被 签名 的 区 域 文 件 包 含 原 始 的 RRSet， 是 规范 化 排序 的 ， 并 使 用 资源 记录 签 
名 (RRSIG) 记录 进行 了 签名 。 文 件 也 包括 一 条 NSEC [3] 记录 以 及 在 文件 内 每 个 
RRSet 所 对 应 的 RRSIG 记录 。 在 区 域 文件 内 没有 被 签名 的 唯一 记录 是 子 区 域 的 NS 记 
Ko FRM (而 不 是 父 区 域 ) 是 这 个 信息 的 权威 ; 因此 ， 父 区 域 没有 认证 这 些 消息 
的 准确 性 。 

幸运 的 是 ，dnssec-signzone 设施 工具 实施 所 有 这 些 步骤， 自动 地 进行 规范 化 排 
FF. NSEC [3] ree RRSIG 构造 和 插入 ， 以 便 产 生 一 个 被 签名 的 区 域 。 这 里 是 
dnssec- signzone fi ， 我 们 将 用 之 对 ipamworldwide. com. 区 域 签名 。 

dnssec- signzone-k Kipamworldwide. com. +005 + 06082-1 dlv- registry. 

net-g-o ipamworldwide. com. -t db. ipamworldwide. com Kipamworldwide. 

com. +005 + 14522. key 

dnssec-signzone 设施 工具 的 参数 包括 如 下 内 容 。 

(1) -3 salt ( 精 选 值 ) : 当 对 这 个 区 域 签名 时 ， 使 用 指定 的 salt 值 ， 生 成 一 个 
NSEC3 链 。salt 是 以 十 六 进 制 格式 指定 的 ， 一 个 短线 (-3-) 指明 ， 当 生成 NSEC3 链 
时 ， 不 应 使 用 salt。 

(2) -a: 验证 所 有 生成 的 签名 。 

(3) -A: 当 生 成 一 个 NSEC3 链 时 ， 在 所 有 NSEC3 记录 上 设置 OPTOUT 标志 ， 

不 要 对 未 签名 的 子 区 域 (不 安全 的 委派 ) 生成 NSEC3 记录 。 

(4) -c 类 : DNS 区 域 的 类 。 

(5) -C: 与 dnssec-signzone 的 较 陈 旧版 本 的 兼容 模式 ; 在 签名 zonename 区 域 时 ， 
除了 dssec-zonename 之 外 ， 生 成 -zonename 密 钥 集合 。 

(6) -d 目录 : 为 了 对 区 域 签 名 ， 查 找 dsset 或 keyset 文件 的 指定 目录 。 

(7) -e end_ time; 指定 所 生成 的 资源 记录 集合 签名 记录 过 期 时 的 日 期 和 时 间 。 
End_ time 可 使 用 +N 以 相对 于 当前 时 间 的 方式 指定 ， 其 中 是 距离 当前 时 间 的 秒 
we, 或 使 用 格式 YYYYMMDDHHMMSS 的 协调 统一 时 间 ( Coordinated Universal Time, 
UTC) 的 绝对 时 间 表 示 。 当 忽略 这 个 参数 时 ， 默 认 end_ time 是 距离 start_ time 的 30 
天 时 间 ( 见 -s)。 

(8) -E 引擎 : 为 区 域 签名 ,使 用 密码 学 硬件 (OpenSSL 引擎 ) 的 命令 选项 ， 使 
用 的 是 来 自 一 个 安全 密 钥 存储 (〈 当 支持 时 ) 的 密 铀 。 当 采用 PKCS#11 支持 进行 编译 
时 ,默认 的 引擎 是 pkcsl1， 否 则 为 none (无 ) 。 

(9) -f 文件 : 指定 被 签名 区 域 的 文件 名 。 如 果 和 忽略 ， 则 默认 是 附加 有 签名 的 当 
前 区 域 文件 名 。 

(10) -g: 指明 应 该 产生 委派 签名 者 资源 记录 ， 由 该 记录 认证 所 签名 的 子 区 域 ; 
. 得 到 的 ds-set 密 钥 集合 ， 被 提供 给 父 区 域 的 管理 员 ， 包 括 在 用 于 签名 的 父 区 域 中 。 
(11) -h: 打印 这 条 命令 的 help 摘要 描述 。 

(12) -H iterations (重复 次 数 ) : 当 生 成 一 条 NSEC3 $E ( 当 指 派 -3 选项 时 ) 时 ， 
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使 用 iterations 次 的 重复 数 。 

(13) -i 间隔: 当 对 一 个 区 域 重新 签名 (传递 一 个 以 前 签名 的 区 域 作为 输入 ) 
时 ， 间 隔 指定 任何 签名 记录 超期 前 距离 当前 时 间 的 时 间 间 隔 ， 此 时 将 重新 产生 间隔 。 
因此 ， 如 果 签名 (RRSIG) 记录 被 设置 为 在 5 天 内 过 期 ， 且 该 区 域 被 重新 指派 一 个 6 
天 的 间隔 ， 则 将 重新 产生 签名 记录 ; 否则， 将 保留 当前 的 签名 。 

(14) -I 输入 格式 : 定义 要 签名 的 区 域 文件 的 输入 格式 ， 文 本 格式 〈 默 认 的 ) 或 
原始 的 〈raw) 。 将 这 个 选项 设置 为 原始 的 ， 这 有 助 于 对 原始 区 域 数据 的 签名 ， 该 数 
据 包 括 动态 更 新 ， 因 此 为 静态 区 域 增加 不 了 多 少 价值 。 

(15) -j Poh (jitter): 支持 指定 一 个 窗口 ， 该 窗口 被 用 来 随机 化 RRSIG 签名 超 
期 时 间 ， 目 的 是 降低 几 个 同时 超期 的 影响 ， 当 被 签名 区 域 的 时 间 过 了 、 需 要 重新 指派 
时 ， 每 个 超期 都 需要 重新 产生 签名 。 

(16) -k 密 钥 : 指派 的 密 钥 是 一 个 KSK; 可 提供 多 个 -k 参数 。 

(17) -K HR: 定义 密 钥 文件 所 处 的 目录 。 

(18) -1 BK: 生成 一 个 DLV 密 钥 集 合 文件 ; 可 将 这 个 密 钥 集合 注册 到 DLV 注册 
结构 ， 以 便 验证 这 个 区 域 的 “委派 ”。 

(19) -n threads (线程 数 ) : 指定 当 实施 这 项 操作 时 ， 要 使 用 的 CPU 线程 数 。 

(20) -N serial-format (序列 号 格式 ) : 指定 被 签名 区 域 的 SOA 记录 序列 号 的 格 
式 ， 为 如 下 之 一 。 

1) 保持 原样 (keep): 不 修改 区 域 文 件 输入 的 序列 号 。 

2) 增加 (increment) : 依据 RFC 1982 序列 号 算法 ， 增 加 序列 号 。 

3) unixtime: 将 序列 号 设置 为 自 计 时 开始 以 来 〈 自 1970 年 1 月 1 日 子夜 UTC 以 
KHAN, ATA) 的 秒 数 。 

(21) -o Mee (origin): 指定 被 签名 区 域 的 区 域 原始 点 。 

(22) -O 输出 格式 (output-format): 指派 被 签名 区 域 的 输出 格式 为 文本 (默认 
的 ) 或 原始 的 。 

(23) -p: 当 对 区 域 签 名 时 ,使 用 伪 随 机 数据 ， 相 比 于 依据 -r 参数 而 使 用 真实 随 
机 数据 的 方法 ， 这 种 方法 要 快速 但 不 太 安 全 。 

(24) -P: 禁止 默认 的 签名 后 (postsigning) 验证 测试 ， 包 括 对 每 个 正在 使 用 的 
算法 验证 存在 一 个 有 效 的 未 撤销 的 KSK、 验 证 所 有 被 撤销 的 KSK 都 是 自 签名 的 和 针 
对 每 个 算法 区 域 中 的 所 有 记录 都 是 签 过 名 的 。 

(25) -r 随机 源 : 指明 一 个 随机 数据 源 ， 例 如 一 个 文件 或 字符 设备 (例如 键盘 ) 。 

(26) -s start_ time: 指定 资源 记录 集合 签名 记录 (RRSIG) 成 为 有 效 的 日 期 和 
时 间 。start_ time 可 使 用 +N 以 相对 于 当前 时 间 的 方式 指定 ， 其 中 是 距离 当前 时 间 
的 秒 数 ,或 使 用 格式 YYYYMMDDHHMMSS 的 协调 统一 时 间 ( Coordinated Universal 
Time, UTC) 的 绝对 时 间 表 示 。 当 忽略 这 个 参数 时 ， 默 认 start_ time 是 距离 当前 时 间 
的 1h， 目 的 是 运行 时 钟 偏差 。 

(27) -S$:“ 灵 巧 签 名 ”利用 密 钥 元 数据 ， 使 用 dnssec-keygen 的 定时 选项 加 以 配 
置 ; 搜索 密 钥 库 查 找 与 要 签名 的 区 域 相 匹配 的 密 钥 ， 将 它们 包括 在 与 相应 元 数据 和 定 
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时 关系 一 致 的 区 域 文件 内 ,之 后 对 区 域 签 名 。 满 足 如 下 条 件 的 密 钥 被 用 来 对 区 域 签 
名 ， 即 当前 日 期 已 经 过 了 激活 日 期 或 撤销 日 期 但 在 退役 或 删除 之 前 (或 如 果 不 存 
在 元 数据 ) ; 满足 如 下 条 件 的 密 钥 可 被 发 布 但 不 被 用 来 对 区 域 签 名 ， 即 当前 日 期 过 了 
发 布 日 期 但 在 其 他 日 期 之 前 。 

(28) -t: 在 签名 过 程 完成 时 ， 打 印 统 计 信息 。 

(29) -T tl: 定义 与 DNSKEY 记录 一 起 使 用 的 TTL 值 (如 果 在 区 域 中 任何 未 废 
弃 的 DNSKEY 记录 上 没有 指定 TTL 的 话 ) ， 作 为 灵巧 签名 的 组 成 部 分 ( 见 -S)， 这 些 
记录 是 从 密 钥 库 输入 到 区 域 文件 中 的 。 

(30) -u: 更 新 区 域内 的 NSEC [3] 链 ; 同样 也 支持 从 一 个 NSEC 链 式 区 域 到 一 
个 NSEC3 链 式 区 域 的 切换 , 反之 亦 然 , 但 这 取决 于 区 域 文件 中 是 否 存 在 
NSEC3PARAM 记录 。 

(31) -v level: 设置 调试 (debug) 等 级 。 

(32) -x: 以 KSK 对 区 域 的 DNSKEY RRSet 签名 ,但 并 不 带 ZSK。 

(33) -z: 当 确定 要 对 什么 签名 时 ， 忽 略 KSK 标志 (SEP 标志 比特 ); 即使 有 
KSK [和 ZSK] 对 区 域 RRSet 签名 也 要 忽略 。 

(34) zone_ file: 要 签名 的 区 域 文 件 名 。 

(35) 密 钥 : 用 来 对 区 域 数 据 签名 的 密 钥 。 

Dnssec-signzone 设施 工具 的 输出 是 被 签名 的 区 域 ， 它 使 用 相同 名 字 作 为 原始 的 未 
签名 区 域 ， 串 接 一 个 “.signed” 后 级 。 看 看 我 们 的 例子 ,您 可 如 下 看 到 
db. ipamworldwide. com. signed 文件 要 远 远大 于 我 们 的 原始 区 域 文 件 。 考 虑 在 签名 前 我 
们 的 初始 db. ipamworldwide. com 文件 
$ TTL86400 
ipamworldwide. com. 1D IN SOA extdnsl. ipamworldwide. com. 

dnsadmin. ipamworldwide. com. ( 

204 ; serial 

3H ; refresh 

15 ; retry 

lw ; expire 

3h ; minimum 

) 
ipamworldwide. com. 86400 IN NS extdns1. ipamworldwide. com. 

86400 IN NS extdns2. ipamworldwide. com. 

86400 IN NS extdns3. ipamworldwide. com. 
extdns1. ipamworldwide. com. 86400 IN A 192. 0. 2. 34 

86400 IN AAAA 2001 :db8 :4af0 ;2010; :a 
extdns2. ipamworldwide. com. 86400 IN A 192. 0. 2. 42 

86400 IN AAAA 2001 :db8 :4af0 ;2011; :11 
extdns3. ipamworldwide. com. 86400 IN A 192. 0. 2. 50 
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86400 IN AAAA 2001:db8 :4af0 :2006 : :9 
eng. ipamworldwide. com. 1w IN NS nsl. eng. ipamworldwide. com. 

lw IN NS ns2. eng. ipamworldwide. com. 
nsl. eng. ipamworldwide. com. 1w IN AAAA 2001 ; db8 :4af0 :2007 : :7 
nsl. eng. ipamworldwide. com. lw IN AAAA 2001 ; db8 :4af0 :2009 : :12 
$ ORIGIN ipamworldwide. com. 

1D IN MX 10 smtpl. ipamworldwide. com. 

1D IN MX 20 smtp2. ipamworldwide. com. 
www 1D IN A 192. 0. 2. 37 

1D IN AAAA 2001 ;db8 :4af0 ;2010; :25 

1D IN A 192. 0. 2. 53 

1D IN AAAA 2001 ; db8 :4af0 :2006; :5 





w3 1D IN CNAME www. ipamworldwide. com. 
smtp1 1D IN A 192. 0. 2. 36 

1D IN AAAA 2001 : db8 :4af0 2010; :1b 
smtp2 1D IN A 192. 0. 2. 45 


1D IN AAAA 2001 ; db8 :4af0 ;2011; :2b 
ftp-support 1D IN A 192.0. 2.44 
1D IN AAAA 2001 ; db8 :4af0 :2011; :2c 
$ INCLUDE Kipamworldwide. com. +005 + 14522. key 
$ INCLUDE Kipamworldwide. com. +005 + 06082. key 
将 上 述 内 容 与 如 下 签名 版 本 相 比 对 : 
ipamworldwide. com. 86400 IN SOA extdns1. ipamworldwide. com. 
dnsadmin. ipamworldwide. com. ( 
204 ; serial 
10800 ; refresh (3 hours) 
15 ; retry (15 seconds) 
604800 ; expire (1 week) 
10800 ; minimum (3 hours) 
) 
86400 RRSIG SOA 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
OQS + AaE57 + ffRfz + SaMHOJI6b412bNnsSDIK 
mlIMdmXOw8 cylCMieaUBz8 ek64FyM WLGh2c5 
HogVxtt7s9 cHICosxqhqZNX YT7GP + YpRRVO4 
uCGgq6uogCpgj1 L39tqnSQ1 da8 pT5 a6 DRCIJ 
fqsSS ubrmA/20cc02c15 XFTIAik = ) 
86400 NS extdns1. ipamworldwide. com. 
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86400 NS extdns2. ipamworldwide. com. 

86400 NS extdns3. ipamworldwide. com. 

86400 RRSIG NS 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
qVdOx6s9IAL4 YWz2hPB1 Q5aVNPcPbIsREenD 
PP/7GyXbQKxAdDDugaW PHoKEvPA9f1SBWomZ 
h4pGOKJaA5 Pk9 okF3 FkKHLHclTFVGfhTEdrVj 
Dk6a8eRNoU + CMHWwmfJtNFpYpVVd6Ch1 LWdw 
ZJ27Z80 HZrHtwZ8 XmubPzu8MZIE = ) 

86400 MX 10 smtp1. ipamworldwide. com. 

86400 MX 20 smtp2. ipamworldwide. com. 

86400 RRSIG MX 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
dR4kJtp5 DyvCHTF7 + uCNloKCRNVx5jM/XOd9 
H5F7 OhnDUIgPWK YnuCbL3 PBhx1iK9 OnrrL1 g 
ZvEuT Avifzzax4 n8 CSPCBOCbrM W WUXQ44 vKG 
10 WOLwzQKJXIPGHzGiG + 6dktfqOnBgppXekA 
QWBJA6nOAeGKtqQMtKUa75uqs2Y = ) 

10800 NSEC eng. ipamworldwide. com. NS SOA MX RRSIG 
NSEC DNSKEY 

10800 RRSIG NSEC 5 2 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
WyZl4 AduBUWdEDO1Ckc + IOnSArek5n3r6rKX 
m26 H5Sjow/ RSpgmPJfGOH/9 gjyEwnGoqrKbh 
5s7kxtnvF3xV YFE1 If7zv5 bHxSvBgMDqdNXq 
ChY9BJ9kOemQOL7 NipreadXfy VXBthl5 jaPC 
vKLSwAjmNAzbtV4f6S + CIDK288w = ) 

86400 DNSKEY 256 3 5 ( 
BQEAAAABx6QAwJiz6hHa/eUI2 pGz6rvwEYpJ 
dil TJH8 Uj41DPTmzseCOgFEqB3/dZB0Q5 LEs 
1ZetAJJEk4F + WecRKwqnIcGkvIKfTC8hn + gb 
iBAnadQRFLxNMBs6KBOe + yqiNK60sbrn22F8 
AYRiG3n2rTQndVtkaZep9 jbcCqfu/DagB10 = 
) ; key id = 14522 

86400 DNSKEY 257 3 5 ( 
AwEAAdSAwGoUBhtjpE8 GLGN4ryt8 yEq7 1 Dqd 
E + 1j3boe9lmvpM02 YZ1/AQxoHbyA7NqRr + 8d 
sTM8 OrF2yFRbcP1 y0/9 q37 TO PgqxL5 HjAZ8 Hr 
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DoW9R/pC3 XyRe9pMzRNr4as + c/xEISfhxzvR 
84CndF5 XvFeh3 HOkVDeTb + 7QRrG7hnph4 P8w 
4SMg76tBvxHLFmj3 OdP8 vIUpRAnexEAdclam 

j1 ZSPjLcedICzpDvQB/LLsYxx8 wx2hOvTvhxZ 
klqmy1 dPBtIZu2 A551 VIrU0xgCJxDjJGCgBb 
rp1C01tYSdqlA112 HCL8eV7io/CxnCuSThP1 
XaPLySojJpXUgDomWegVYeo0 = 

) ; key id = 6082 

86400 RRSIG DNSKEY 5 2 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
VObEwZmY56O0rGQb02B/Pf17 RAcFyPZAvPT/W 
Rm/ + nluSOYMVqdzRaKM/ae47 KslioXm3tNcy 
GF3uBvBql7xPzIOuly3 COoorXmbsshbuANo7 
YfQsyXWuX2BIjjLAVRRLQolVcdDyyleoAOE7 
BebPM + fQQtvN2C2IjrcacJyeUle = ) 

86400 RRSIG DNSKEY 5 2 86400 20100305135354 ( 
20100203135354 6082 ipamworldwide. com. 
e8jCEV Y6C11SImGqjgzV W Agp7cC4A WuntF vc 
oCCO + 2BwGxe7 + zxP2r02CCSOCIrTqtgwpNRd 
5aH4xBrYmZh0OIFQ7 OxTFSGBvQ4 DxC8ZDdQVS 
uTYCBSzN7kXRJZopZv3 chhf7/9 uyz3 gqtQnl 
SRyUVATMOGSeu + ewBFqGIsXJvS5 XMNG7ZTO15 
rtRd8zF/7 MIY7 TISpHULGP7 OJxcNFtyt8 wnc 
/dObfexril4tOwLPVF4 QnLnLxAHvdWt + QPVQ 
223 WIcOU + rg6U6FsSjoi0U2QAxVFebenTJED 
U2juAdqEE8I1 Y9oOvNQVtYFF)XF gil vDLGCG 
zM8i4f19 uGZUHvzKng = = ) 

nsl. eng. ipamworldwide. com. 604800 IN AAAA 2001 :db8 :4af0 ;2007: :7 
ns2. eng. ipamworldwide. com. 604800 IN AAAA 2001 .db8 :4af0 :2009; :12 
eng. ipamworldwide. com. 604800 IN NS nsl. eng. ipamworldwide. com. 

604800 IN NS ns2. eng. ipamworldwide. com. 

10800 NSEC extdns1. ipamworldwide. com. NS RRSIG NSEC 

10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
dWwYO0rZRfW5 aY gBsbRuCxot6 CGGG8hfgHId7 
84 IZIYi9 HHgr02 saBdlzmzqJCGre0 pGSDBvf 
ZpJP1BVUS1 NuMycEBFBUIS8IUASDTxcLGjrT 
169 viqiyXjICzrsu2fzKL1 QNwUOFMGiedglh 
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1jkUJ1jKKs9 yr4 XFZBwP/y8OpoQ = ) 
. extdnsl. ipamworldwide. com. 86400 IN A192. 0. 2. 34 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
IwNfRz7 m6 Rneh6hpacdIpTHGRftsU8 e931 OP 
bjCODfw92DXn51uHghiCoE + rrO04zK1 wYFPSL 
CoKF43 whVX1 EXOt7 UFGuAebr4587 DnDqhKol 
9XivKce35 HvPzl ErniZHuUIsZCjvuziwvGIXS 
72PkoHzNw/lxv + nDriemFn7tWxE = ) 
86400 AAAA 2001 :db8 :4af0 :2010::a 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
aNzJgdLi4 DTttIUj + Y + 9FLIZeAuSiRX9 yewN 
jvFG3 aJ4 mo04£WwhK FynltcfJF pKjHyq4eCD 
PamIS/9fDOn8 OdX1 g8 CkfKNQIszUoAkhSQXH 
6avkol jwgPOlqHwjRNhdcW2UuE + pjyvgNITW 
ZOgb65nR + UjSJQXRQnHpyhyD + nk = ) 
10800 NSEC extdns2. ipamworldwide. com. A AAAA RRSIG 
NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
ipB8 e08 GLPvbCCzUF6ETXBiXsRXZiWu8 y21z 
uEoxJn + 3T9dYXFEFFpdyj5 Qnhl/gnvwpcl mP 
sFyg0 + PSmNziXO/Aj3 LQF2HJMnQxT34dQdJb 
Ze/6KBJZO6KZXwXrQXxVGrbFHY9xY5 QO gfs4 
J2MUAZBO74KWOVZKUzLUczgrwhl = ) 
extdns2. ipamworldwide. com. 86400 IN A192. 0. 2. 42 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
ax6 Umlog3DSn + KxIQSvbQjES9CwuaYZ + GOyT 
NHOIwVOrV4cjP7 LA2 Pc2p7 bQjwoTMkXKS uoU 
Or8 Mnd7/boJyQUrBF62 pbhOqJ9mKbvrYD1 ud 
SivEiDnxAvO0FTwagCe22 Vvd3 DNTjXUhizBt7 
DIIbA921ISCiNHgeFT/OljqcW + ZO = ) 
86400 AAAA 2001 :db8 :4af0 2011; :11 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
aQOVipvwjtASODZiXJoTot9iPAToISrqrkMD 
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IXRNimxuT/EDO + S940Ug5rA5a/XS80aDFSyD 
uqLIVIiZC4 Zd5 jHazPxEjJR7 YyJOsx8kly5Q 

85 LBJQhVsiADcoKz7 NZ8TRFzSEGQNKMLVYIx 
kVx8 JpJcGWLeXBekk5 J46OeacfE = ) 


10800 NSEC extdns3. ipamworldwide. com. A AAAA RRSIG 


NSEC 


10800 RRSIG NSEC 5 3 10800 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
J8j82 DSNwUcO M2 dd2 vPzkT1OnjxrrTeKIWH2 
h13hjbH3 xrl8 WLQdJQiqJpXapXSKGX/57 + C8 
EO + OBbsqNMpwf + bNhxdnJazB7 elYdk7 KI8 Xp 
Tmpy V9zRTJjr3 U316 pw2GjaCMkBDw8JD1 + 6w 
LJjib4,JgHg3 pDswvo6ShXxpnezk = ) 


extdns3. ipamworldwide. com. 86400 IN A192. 0. 2. 50 


86400 RRSIG A 5 3 86400 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
a61VQOXfc0 UgsIfCJA/yGDvPdX UrXH2 HJzS9 
h/DGEIdu3 ZBNcEwtK Vvd4 ph/rHXknX2Ito2m 
4/1 OLtvFdriZjhbpIER Catl45 ySxhvugbZlb 
EAjEWal kixmPoOtXZ + pAS + 7cLCxkodr5 Np2t 
£9 Ppdv5 bx4/a9 BEM8 abrUwrT988 = ) 


86400 AAAA 2001; db8 :4af0 :2006: :9 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
AMeurMSeauKG/w0KSgo9tK WToMDXEOtArCmu 
13 VKDUDN22Y7yf1UX + nwcUJuLRU4tLfeiLBT 
E8 IIjsJ3 Qu9SQmCBB/4 VCHjNax98c4 + /RBym 
M9sKuprQK9MEzV5kqqY yHdVuPFzSWCp0QXCO 
AWrWGW1k03 0XS60j + gqK3hHnAsQ = ) 


10800 NSEC ftp- support. ipamworldwide. com. A AAAA 


RRSIG NSEC 


10800 RRSIG NSEC 5 3 10800 20100305135354 ( 


20100203135354 14522 ipamworldwide. com. 
nfQMcp6s2 ly VItiCmb89 DiSK YmdurlBo0 Nx3 
OIQYcoMvZVVXMaé4 ynCoq3 1KdebjhGrW8 e6NG 
c5 SyPYrBzjwl NVEPIr1 mNoVN2EEBqquPYluC 
29f0 M5 N534yThPO1 yCsjee7 FpIXGKYObhb5 + 
iSwLH10NrIpLJEAw3o0WsXNPxkhQ = ) 
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ftp- support. ipamworldwide. com. 86400 INA 192. 0. 2. 44 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
umyl YTUI2 YaFXcRp9xATrAK7 YnOz/PCbzOSF 
xJLL9 CLNzmtdPEvFW7i09 oeC8C + R3 WfYafhV 
aWiT/BYPbwaqvxHaxR WFJ7 h1087n5 PHfAHxyE 
dir11LZO5f0IKK8 olgawlyHbE/XeqYHVeZpY 
zJSGGMBiyTI/ VGKluud17 + /EDh4 = ) 
86400 AAAA 2001 :db8 :4af0 ;2011; ;2c 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
A43jiBaDMIhL9 KtqP2uE2iG + snSSZBVhqk9Q 
ChRR0512pZJ5 WGPip0 KjgcJxaVnMbbBuyM7v 
1zW6G1 PerBwtbaX/zi2 YnW + OOXyBYGIXjXPC 
bHjM317Z07 WgHD/14 jrHZV QczUDSmZCJQBIK 
zEYITt + su4K6ElIfxw3uBlrheAAc = ) 
10800 NSEC smtpl. ipamworldwide. com. A AAAA RRSIG 
NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
v/LRbW7drv03r + F5 XasqZ2bjdGXQ7 VP6kvOa 
gt3s/gT5 W/c8aLfTeA3 lmwwEk3 DrNEB9U + MV 
XE9 YdI1 iLySu8 JO7hF9 qJfSiCSIkZgmf5 UDZ 
BUUKifIXZVRHUy8uD2 pXP3 btZOrhR9 CXUS oF 
EfrvaGv7 ++ yC + IhRJN7pbg + WEUO = ) 
smtp1. ipamworldwide. com. 86400 IN A 192. 0. 2. 36 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
ISISPwoCpLdSfWFFjhfuAS Y72 DoA06dMPAic 
5 vhRJW QfoUbisWrGt292z717S7 X YIwgRARURO 
JDUSe93 27 Tzbjx04 UPDbuheFDYI7r + vDXLj2 
cQgKT4gPJ6UCi2kawWaVbAzPz + ZzV2¢fxJfc 
fsj ARBSrbNDk1 BOOG6IDI3 pfPYh0 = ) 
86400 AAAA 2001 ; db8 ;4af0 ;2010; :1b 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
Jap9 zaU4 gW cxHzXmtkK8 NtCKGUCE/AdPf + /d 
yWJC5PG7ClildQsxCIhbvgLHdQO0 YfFMNS nvd 
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abt3fybBoTtbNATZeBqFDalMnF3IBzyhChA + 
ODC1 R27LGk7iyOZS5 zsq055ZgROpkBbML3 09k 
M7Y + Lx +nM3j44zj6YoUDsAUvPls = ) 
10800 NSEC smtp2. ipamworldwide. com. A AAAA RRSIG 
NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
x1 YIFJQBUhSOTB/T7nrntcaB7x96AK + AAJZT 
787 XIry Uwg5 boDkA5 MOGNxAoL6nurtbi3 + 6f 
GLDoG4HYLsEmJlamw9 + IANm1u2yLsg5q2viL 
lymrol0AlpeXNptDevgZ5 + CiRiRKkNw0 + BZ1 
YCrdNJTBUo8pYfZDxdBpihi87EU = ) 
smtp2. ipamworldwide. com. 86400 IN A 192. 0. 2. 45 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
a + qfAnPTIcI7nBNRhg6 BDZrFuQvBbiLZUPXA 
kSXeLNkwtKS bodr + jOnZQqUFsCvHw/Gj2FH7 
7L2ROcDto0 QHES W wKy3 AjNtvRGg/GK54u02v 
A4NEx8 COsgly W PkIC9 Nbndp4bE2zV11304 Wr 
UkAGYtD/ZMv79vhB8 AsLKyfS + yM = ) 
86400 AAAA 2001 :db8 :4af0 ;2011; :2b 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
jQrvFnE/4JqFSfl6b/GR8j2hv/B + 4XmuslCM 
4P2D6YRYGNhZCeOw4DY3 U9 fGsg + B8gZii7U + 
Rc9Qe8RyzV + wu8gy + 65uvbS19sb6zfGOrOp2 
P + ZsAy7 ROZtPjzEdMLAIJdea4 LdAgUO9IqNo 
Q5ro79 H9GAHptAw2epa + 1XAp + we = ) 
10800 NSEC w3. ipamworldwide. com. A AAAA RRSIG NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
gKXAbEocdwlnPIo9 YtwLwOatBlamwpQTEM + e 
rKjgibrj YP1 ymBiRwOs8lnrfXxCbv6 v3 ix6Q 
IQcQrzK PugVEalxU]6kqqHOLsX YwgbixppQX 
Len1 29 Wfmdv23Z6njQrdR + DmF6aQZP1UaiTn 
SPtE26w59U1rtcyhm2pOvqic518 = ) 
www. ipamworldwide. com. 86400 IN CNAME www. ipamworldwide. com. 
86400 RRSIG CNAME 5 3 86400 20100305135354 ( 





ary 
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20100203135354 14522 ipamworldwide. com. 
PTRpKmkZhBw18cl1ZscxIlCL7P23fYgZBsEX9 
DKrawjkyMZ5B + EqQaGNdsfgvmvirrexCzv/K 
MaMaeWBGI4 Bb9 gykm72thXneud5S gHi5zLjsK 
4uK/13 EdWcurQ89 R44Q7 pTUOy4 yzCdpH/ KDE 
Qjd6P/JrWLnO/W WOgxurwHPFiBE = ) 
10800 NSEC www. ipamworldwide. com. CNAME RRSIG NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
WOjecsvdSJfLuJ617£A Udfnat9 fd45 OE6toO7 
GHwkjRPWm1 Q9C83 WOBgel61 gZ41r/ql ZKoE6b 
FvFOIIxz4NhPiJVb2bUbSL6A1 KOvwD4 KUGIA 
ExKfuPM16/gLOE/Tqczcp/2ETXm5 yksOkoPJ 
ynOMoLpBlyNlHeJwtPBaHIbE + BO = ) 
www. ipamworldwide. com. 86400 IN A 192. 0. 2. 37 
86400 IN A 192. 0. 2. 53 
86400 RRSIG A 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
xjwhHW1y25aOvLP2E1 y9aaN6GRcGUxoN4o + P 
eZ0Wc05zjlDu60l ZOCXivrbIOP4LVS7 pqMX3 
be4SQDmzmRDQOH/ + Q8Fzxbfl UFQNceVB2uhtV 
6R8DfNwRwlugoL + 33 qE2MOrrxWz16Jutl2 go 
vkYogNqDjl MNiiKkoGgmJQmiHYc = ) 
86400 AAAA 2001 :db8 :4af0 :2010 : :25 
86400 AAAA 2001 :db8 :4af0 ;2006; :5 
86400 RRSIG AAAA 5 3 86400 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
IRoCDp + 0y/HM/xyEdciq05 cD WcRzxmQCwPbs 
GKrCe + OoYHfTFnSBCAEReY4tneb/ HMwYbqxV 
SRp5oW2FPDi5 GZunL7tLp7 gFOtF7 M9 XIV mi 
9 PDg9 wiNzDxw/CgbsN/wbtsRpgbPxQwkACiP 
eRsNDL3 YSEAxLi24yFw + Qay6uEc = ) 
10800 NSEC ipamworldwide. com. A AAAA RRSIG NSEC 
10800 RRSIG NSEC 5 3 10800 20100305135354 ( 
20100203135354 14522 ipamworldwide. com. 
auNzMg6x34 + oradbjFKoQquKmB8sAmKg44FF 
8FCuh7 FI/mrKNHVuvl YmVNXNK/ZHAIJpVYzH 
fpe4 KxPGh8 IcDftEfqd52 ZO LsetY eRvxNzxQ 
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sAS + OzClCIiTiEpUNte6siExj7YvhB]PN4e4 
pnkzTKPULWat489Juzo2U77XysA = ) 

无 需 多 言 ， 对 一 个 区 域 签 名 极 大 地 增加 了 区 域 的 尺寸 。 在 给 定 每 条 RRSet 的 额外 
RRSIG 和 NSEC 信息 条 件 下 ， 它 也 增加 了 解析 报 文 尺寸 ， 更 别提 核验 回 指 9 一 个 信任 
锚 点 的 信任 链 所 需 潜在 增加 的 额外 消息 流量 了 。 

回去 看 看 我 们 对 数字 签名 过 程 的 讨论 ， 原 始 解析 数据 当然 是 图 13-1 的 要 被 签名 
的 “数据 ”。 数 据 实际 上 由 整个 RRSet 组 成 ， 它 首先 被 进行 散 列 处 理 ， 之 后 使 用 密 钥 
对 的 私有 密 铀 进行 签名 。 得 到 的 签名 由 每 条 RRSIG 记录 的 签名 字段 组 成 。 因 此 ， 在 
我 们 的 签名 文件 开始 部 分 ， 我 们 有 我 们 的 原始 SOA 记录 ， 后 跟 其 对 应 的 签名 
(RRSIG)。 之 后 列 出 我 们 的 三 条 NS 记录 。 由 这 三 条 记录 组 成 这 个 RRSet， 依 据 后 面 
的 RRSIG 记录 ， 进 行 签名 处 理 。 类 似 的 ，MX RRSet 被 列 出 并 签名 。 注 意 ，RRSIG 记 
录 指 明 签 名 使 用 的 是 ZSK， 依 据 的 是 密 钥 标签 字段 值 14522。DNSKEY RRSet 本 身 是 
由 KSK 和 ZSK 签名 的 ， 这 由 带 有 相应 KSK 和 ZSK 密 钥 标签 的 两 条 RRSIG 记录 得 到 证 
明 。 通 常情 况 下 ，KSK 仅 对 DNSKEY RRSet 签名 ，ZSK 对 所 有 区 域 RRSet 签名 。 也 要 
注意 ，nsl 和 ns2. eng. ipamworldwide. com 黏 结 记 录 是 不 被 签名 的 ， 原 因 是 这 些 记录 是 
eng. ipamworldwide. com 区 域 的 权威 记录 ， 而 不 是 ipamworldwide. com 区 域 的 权威 记录 。 

接 下 来 列 出 的 NSEC 记录 ， 提 供 了 记录 的 一 个 规范 排序 ， 用 来 识别 并 认证 一 条 不 
存在 资源 记录 的 一 个 否定 应 答 。 这 条 特别 的 记录 指明 下 一 个 属 主 是 
eng. ipamworlwide. com。 这 条 NSEC 记录 也 被 签名 。 剩 余 的 每 条 RRSet 包括 一 条 NSEC 
记录 和 RRSet 签名 (RRSIG 记录 ) 。 


13.3.4 链接 信任 链 


既然 区 域 已 被 签名 ， 则 您 应 该 确定 它 在 信任 链 中 的 位 置 。 即 确定 父 区 域 是 否 被 签 
名 。 如 果 父 区 域 没 有 被 签名 ， 且 新 的 被 签名 区 域 是 顶层 域 ， 即 该 顶层 域 被 签名 ( 即 
zone apex; 例如 ， 在 本 书 撰写 时 ，com 是 没有 被 签名 的 ) RAPE HT A Ae 
归 解 析 器 ， 必 须 采 用 区 域 的 公开 KSK (作为 一 个 信任 密 钥 ) 配置 。 这 就 通知 该 解析 
器 ， 采 用 这 个 密 钥 签名 的 区 域 信息 是 可 被 信任 的 。 对 于 那些 解析 器 ， 它 们 信任 我 们 的 
ipamworldwide. com 区 域 管理 员 的 数据 ， 则 依据 如 下 A, KSK 06082 公开 密 钥 可 被 配 
置 在 每 台 递归 服务 器 named. conf 文件 的 相应 信任 密 钥 (trusted-keys) 语句 内 。 
trusted-keys | 
“ipamworldwide. com. ”257 3 5 
“ AwEAAdSAwGoUBhtjpE8GLGN4ryt8yEq71DqdE + ij3boe9lImvpMO2YZ1/ 
AQxoHbyA7NqRr + 8dsTM8OrF2yFRbcP1y0/9q37TOPqxL5 HjAZ8 HrDoW9 
R/pC3 XyRe9pMzRNrd4as + c/xEISfhxzvR84 CndF5 XvFeh3 HOkVDeTb + 7Q 
RrG7hnph4 P8 w4SMg76tBvxHLFmj3 OdP8 vIUpRAnexEAdclamj1 ZSPjLc 
dICzpDvQB/LLs Yxx8 wx2hOvTvhxZklqmy1 dPBtIZu2 A551 VIrU0xgCJx 





O 回 指 是 从 一 个 下 级 点 指向 一 个 上 级 点 。 一 一 译 者 注 


第 13 章 保障 DNS 安全 (下 ): DNSSEC 243 








DjJGCgBbrpl CO1tYSdqlAl112HCL8eV7io/ CxnCuSThPlXaPLySojJpXU 
gDomWegVYeo0 =”; 

by 

在 递归 服务 器 配置 内 ， 我 们 在 ipamworldwide. com 区 域 处 声明 了 一 个 信任 锚 点 或 
SEP。 注 意 ， 对 于 您 希望 配置 的 每 个 信任 锚 点 ， 都 需要 带 有 相应 KSK 公开 密 钥 的 一 个 
信任 密 钥 表 项 。 如 我 们 后 面 将 讨论 的 ， 您 配置 的 信任 锚 点 越 多 ， 则 在 每 个 区 域 密 钥 切 
换 (rollover) 过 程 中 您 需要 管理 的 密 钥 就 越 多 。 采 用 签名 根 和 TLD 区 域 ， 则 仅 需 要 
维护 一 个 信任 锚 点 。 

自动 化 的 信任 锚 点 更 新 能 力 ， 这 种 做 法 降低 了 信任 锚 点 切换 的 人 工 管理 需求 。 对 
于 这 样 的 信任 鳃 点 ， 并 不 使 用 trusted-keys 语句 ， 而 是 使 用 managed-keys 语句 。 在 下 
面 的 例子 中 ， 我 们 使 用 来 自我 们 的 信任 锚 点 的 公开 KSK 作为 初始 密 钥 。 最 初 这 个 密 
钥 作 为 信任 密 钥 ,但 随 着 ipamworldwide. com 区 域 的 区 域 管理 员 依据 BIND 9.7 和 上 面 
提 到 的 定时 能 力 和 自动 化 处 理 方法 ， 进 行 发 布 、 激 活 、 退 役 和 删除 密 钥 ， 这 人 台 递 归 服 
务 器 将 保持 同步 ， 并 按照 每 个 信任 销 点 的 方式 维护 它 自 己 的 当前 信任 锚 点 密 钥 库 。 因 
此 ， 当 撤销 这 个 初始 密 钥 且 激活 另 一 个 密 钥 时 ， 采用 新 近 激活 的 密 钥 和 这 个 现在 被 撤 
销 的 密 钥 的 DNSKEY RRSet 签名 ， 就 验证 了 到 新 近 活 路 密 钥 的 转换 过 程 。 

managed-keys | 
“ipamworldwide. com. ” initial-key 257 3 5 

“ AwEAAdSAwGoUBhtjpE8 GLGN4ryt8 yEq71 DqdE + ij3 boe91mvpM02 YZ1/ 

AQxoHbyA7NgRr + 8dsTM8 OrF2yFRbcP1 y0/9q37 TO PqxLs HjAZ8 HrDoW9 

R/pC3 XyRe9 pMzRNr4as + c/xEISfhxzvR84CndF5 XvFeh3 HOkVDeTb +7Q 

RrG7hnph4 P8 w4SMeg76tBvxHLFmj3 OdP8 vIUpRAnexEAdclamjl ZSPjLce 

dICzpDvQB/LLsYxx8wx2 h0vTvhxZklqmy1 dPBtIZu2 A551 VIrU0xgCJx 

DjJGCgBbrp1 C01 tYSdqlA11I2HCL8eV7io/CxnCuSThP1XaPLySojJpXU 

gDomWegVYeo0 =”; 
by 
现在 如 果 刚 被 签名 的 区 域 ， 是 一 个 被 签名 父 区 域 的 一 个 子 区 域 ， 则 父 区 域 管理 员 
必须 在 父 区 域 文件 中 包括 委托 签名 者 记录 ， 以 此 链接 信任 链 。 采 用 这 种 方式 ， 父 区 域 
可 担保 这 个 被 签名 的 子 区 域 。 因 此 ， 针 对 这 个 区 域 的 信任 锚 点 不 需要 配置 在 解析 器 或 
递归 服务 器 中 ， 仅 配置 它 的 父 区 域 或 甚至 较 高 层次 祖先 的 被 签名 区 域 。 

Dnssec-signzone 设施 工具 的 -g 选项， 自动 地 在 一 个 dsset-ipamworldwide. com 文件 
中 为 区 域 产 生 我 们 的 DS 记录 。 该 文件 包含 两 条 DS 记录 ， 其 中 一 条 记录 可 依据 首选 
摘要 类 型 进行 选择 。 在 下 面 的 例子 中 ， 在 摘要 之 前 所 示 的 整数 指明 摘要 类 型 。 类 型 1 
是 SHA-1、 类 型 2 是 SHA-256。 接 下 来 是 摘要 ， 它 是 作为 一 个 散 列 计算 得 到 的 ， 即 采 
用 被 签名 区 域 的 相应 摘要 类 型 或 算法 对 KSK DNSKEY 资源 记录 属 主 和 RData 字段 
(BU KSK DNSKEY 记录 ,忽略 TTL、 类 和 类 型 ) 计算 得 到 的 。 

ipamworldwide. com. 


INDS60825 15 F696637 B085 D8 F5 CBFD0C8 B9 E031 CB6CB07159B 
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ipamworldwide. com. IN DS 6082 5 2 

7FFD9203 E916 B5 D49F631 D060 FAFD05 D26974 BEFCED25 AACB88122722E4A7AA9 

以 认证 记录 或 其 签名 子 区 域 (委派 的 ) 中 的 不 存在 性 (nonexistence) ， 委 派 签 名 
者 资源 记录 类 型 提供 了 从 一 个 父 区 域 到 一 个 委派 子 区 域 的 密 钥 的 链接 ， 作 为 信任 链 内 
的 一 个 链接 。 接 下 来 我 们 将 在 解析 过 程 内 详细 讨论 这 是 如 何 工作 的 。DS 资源 记录 具 
有 如 下 格式 







密 钥 标签 ”算法 类 型 ”摘要 
6082 5 1 5F695D8FSBFDOC. .. 








ipamworldwide. com. 


DS 记录 的 RData HAA GF RAIA A AS te EK D, AY EAC] 
用 (referenced) DNSKEY 记录 的 算法 字段 。 摘 要 类 型 指明 在 摘要 字段 携带 的 散 列 或 
摘要 的 类 型 。 有 效 摘要 类 型 值 是 1 (SHA-1) 或 2 (SHA-256)。 摘 要 字段 包含 对 应 子 
区 域 公 开 密 钥 KSK DNSKEY 资源 记录 属 主 字段 与 相同 DNSKEY 记录 RData 字段 串 接 
后 的 摘要 或 散 列 结果 。 父 区 域 管理 员 将 DS RRSet 添加 到 父 区 域 ， 并 对 其 签名 ,来 认 
证 它 的 源 发 性 和 完整 性 。 

在 BIND 9.6 中 ， 引 入 了 一 个 新 的 设施 工具 dnssec-dsfromkey。 在 不 需要 使 用 dns- 
sec-signzone 对 区 域 重 新 签名 的 条 件 下 ， 这 个 设施 工具 支持 DS 资源 记录 生成 。 这 个 设 
施工 具 带 有 如 下 参数 。 

(1) -1: 使 用 SHA-1 作为 摘要 算法 。 

(2) -2: 使 用 SHA-256 作为 摘要 算法 。 

(3) -a 算法 : 其 中 算法 如 下 。 

1) SHA-1, 

2) SHA-256, 

(4) -A: 为 生成 DS 记录 ,包括 ZSK 和 KSK; 如 果 忽 略 的 话 ， 则 仅 产 生 KSK 的 
DS 记录 。 

(5) -c X: 识别 类 (RUWE IN), 

(6) -d 目录 : 密 钥 集合 文件 的 目录 位 置 。 

(7) -£ 文件 : 指定 一 个 区 域 文件 名 ， 而 不 是 指定 密 钥 文 件 名 。 

(8) -1 域 (domain); 生成 一 个 DLV 集合 (而 不 是 一 个 DS 集合 ) ， 并 将 域 (do- 
main) 附加 在 集合 中 的 每 条 记录 。 

(9) -K 目录 : 定义 密 钥 文件 所 处 的 目录 。 

(10) -s: 命令 参数 是 一 个 域名 ， 而 不 是 一 个 密 钥 文件 名 。 

(11) -v GR: 指定 调试 等 级 。 

dnssec- dsfromkey 设施 工具 可 依据 一 个 密 钥 文件 或 一 个 域名 ， 生 成 DS 或 DLV id 
录 ; -s 参数 将 参数 定义 为 一 个 域名 

dnssec- dsfromkey -s [ -v level] [-1] [-2] [-a algorithm] [-1 domain] keyfile 

忽略 -s 的 做 法 ， 则 将 参数 识别 为 一 个 密 钥 文 件 名 。 
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dnssec- dsfromkey [ -v level] [-1] [-2] [-a algorithm] [-1 domain] [-K directory ] 
[-e class] [ -f file] [-A] domainname 


13.4 DNSSEC 解析 过 程 


现在 让 我 们 回顾 一 下 解析 过 程 和 验证 过 程 是 如 何 工作 的 。 将 上 面 的 信任 密 钥 或 管 
理 密 钥 语句 配置 到 我 们 的 递归 服务 器 配置 (named. conf) 之 中 ， 则 我 们 声明 ipam- 
worldwide. com 为 一 个 信任 区 域 。 当 我 们 发 出 对 ipamworldwide. com 区 域内 一 台 主 机 
(例如 ftp-support. ipamworldwide. com) 的 一 条 查询 时 ， 我 们 的 解析 器 就 设置 EDNS0 H 
JB Reode 字段 中 的 DNSSEC OK (DO) 比特 。DNSSEC 要 求 EDNS0O ， 为 的 是 支持 这 个 
扩展 的 Reode 字段 ， 并 且 一 般 而 言 ， 对 于 大 量 的 响应 报 文 ， 看 来 也 超过 了 标 称 的 512 
字 节 UDP 报 文 限制 。 报 文 长度 增 加 的 原因 是 由 于 服务 器 的 响应 造成 的 ， 它 配置 有 权 
威 的 签名 区 域 ， 不仅 带 有 被 请 求 的 解析 数据 (ftp-support. ipamworldwide. com 的 A 记 
K (可 能 有 多 条 记录 ) ) ， 而 且 带 有 与 A 记录 集合 关联 的 关联 记录 。 


13. 4.1 验证 签名 


签名 过 程 对 资源 记录 集合 签名 ， 这 些 集合 是 带 有 共同 属 主 名 、 类 和 类 型 的 资源 记 
录 分 组 。 签 名 是 使 用 由 密 钥 标 签 参 数 索引 的 私有 密 钥 产 生 的 ， 并 被 放置 在 RRSIG 资 
源 记录 的 签名 字段 内 。 

RRSIG 资源 记录 具有 如 下 格式 。 










RData 
覆盖 的 类 型 算法 标签 ”原始 TTL 超期 
开始 时 间 BAME ”签名 者 ”签名 


A 5 3 86400 20100305215354 20100203215354 
14522 ipamworldwide. com. umyI… 





IN RRSIG 








RRSIG 记录 内 的 RData 字段 定义 如 下 。 

(1) 覆盖 的 类 型 。 由 这 个 签名 所 覆盖 的 资源 记录 集 类 型 。 在 我 们 的 例子 中 ， 由 
这 个 签名 覆盖 的 是 A 记录 类 型 ， 它 对 带 有 属 主 ftp-support. ipamworldwide. com. 的 我 们 
的 两 条 资源 记录 RRSet 进行 了 签名 。 

(2) 算法 。 生 成 该 密 钥 过 程 中 使 用 的 算法 ， 它 以 DNSKEY 资源 记录 类 型 的 算法 
字段 ( 见 前 面 的 DNSKEY) 一 样 的 方式 进行 编码 。 

(3) 标签 数量 。 指 明 属 主 字段 内 的 标签 数 。 例 如 ，ftp-support ipamworldwide. com 
有 三 个 标签 。 这 个 字段 被 用 来 重 构 原 始 的 属 主 名 ， 该 名 被 用 来 在 如 下 情形 下 产生 签 
名 ， 其 中 由 服务 器 返回 的 属 主 名 有 一 个 通配符 ( * ) 。 

(4) 原始 TTL。 依 据 在 权威 区 域 定义 的 被 签名 RRSet 的 TTL， 来 核验 一 个 签名 。 
需要 这 个 字段 ,原因 是 在 原始 响应 中 返回 的 TTL 字段 ， 正 常情 况 下 ， 会 被 一 个 缓存 
解析 器 减少 ， 使 用 TTL 字段 可 能 导致 错误 的 计算 。 
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(5) 签名 超期 。 这 个 签名 超期 的 日 期 和 时 间 ， 表 示 为 自 1970 年 1 月 1 日 00: 
00:: 00 UTC 以 来 的 秒 数 ， 或 以 YYYYMMDDHHmmSS 形式 表示 ， 其 中 

1) YYYY 是 年 (在 当前 日 期 的 68 年 内 ， 目 的 是 防止 这 个 字段 的 数值 回 绕 ) 。 

2) MM 是 月 份 ，01 ~ 12。 

3) DD 是 该 月 中 的 日 , 01 ~31。 

4) HH 是 24h 表示 法 中 的 h，00 ~23。 

5) mm Æ min, 00 ~59, 

6) SS Æ s, 00 ~59, 

7) 在 这 个 日 期 、 时 间 之 后 ， 签 名 是 无 效 的 。 

(6) 签名 开始 时 间 。 这 个 签名 开始 时 的 日 期 和 时 间 ， 其 格式 与 签名 超期 字段 的 
方式 相同 。 在 这 个 日 期 /时 间 之 前 的 签名 是 无 效 的 。 

(7) 密 钥 标签 。 以 密 钥 ID 或 标签 提供 与 相应 密 钥 (DNSKEY 资源 记录 (可 能 有 
多 条 ) ) 的 一 种 关联 。 

(8) 签名 者 的 名 字 。 识 别 DNSKEY 资源 记录 的 属 主 名 ， 用 其 来 产生 这 个 签名 。 

(9) 签名 。 密 码 学 签名 ， 涵盖 RRSIG RData (除了 这 个 签名 字段 自身 ) 和 资源 记 
录 串 接 部 分 ， 资 源 记 录 是 由 RRSIG 属 主 识 别 的 RRSet、 类 和 涵盖 的 类 型 字段 组 成 的 。 

因此 ， 对 我 们 的 查询 的 响应 ,包括 A 记录 和 关联 的 RRSIG 记录 ， 由 这 条 响应 指 
明 ， 响 应 是 由 如 下 的 dig 设施 工具 捕获 到 的 。 服 务 器 将 在 响应 中 的 DNS 首部 中 设置 认 
证 数据 (AD) 比特 , 仅 当 它 已 经 认证 了 〈 以 密码 学 方式 验证 的 ) 所 有 包括 在 答案 节 
中 的 资源 记录 以 及 所 有 包括 在 权威 节 中 的 负面 响应 资源 记录 。 注 意 ， 如 果 您 查询 了 作 
为 所 发 出 查询 的 权威 服务 器 ， 则 AD 比特 将 不 被 设置 。 这 台 服 务 器 简单 地 返回 答案 ， 
并 将 验证 工作 直接 留 给 查询 器 处 理 。 如 果 您 查询 您 的 递归 服务 器 ， 它 不 是 所 查询 信息 
的 权威 服务 器 ， 则 它 将 实施 解析 和 DNSSEC 验证 ， 如 果 验 证 成 功 ， 则 将 在 结果 中 设置 
AD 比特 。 我 们 将 在 第 14 章 回 顾 dig 设施 工具 的 细节 ， 在 验证 并 排查 区 域 配 置 问题 
中 ， 该 工具 是 非常 有 用 的 。 

$ dig + dnssec A ftp-support. ipamworldwide. com. @ 127. 0. 0. 1 

;<<>>Dic9.6.2< < > > +dnssec A ftp-sf. ipamworldwide. com. @ 127.0.0.1 

; (1 server found) 

33; global options: printemd 

;; Got answer; 

33 -> > HEADER < < opcode; QUERY, status: NOERROR, id: 462 

292 SECURING DNS (PART II) : DNSSEC 

3; flags; qr aa rd ra; QUERY: 1, ANSWER; 3, AUTHORITY; 2, ADDITIONAL; 3 

;; OPT PSEUDOSECTION : 

; 上 DNS: version; 0, flags: do; udp: 4096 

;; QUESTION SECTION; 

;ftp- sf. ipamworldwide. com. IN A 

3; ANSWER SECTION; 
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ftp-sf. ipamworldwide. com. 86400 IN A 10. 1. 32.9 

ftp-sf. ipamworldwide. com. 86400 IN A 10. 1. 32.5 

ftp- sf. ipamworldwide. com. 86400 IN RRSIG A 5 3 86400 20100525173519 

20100425173519 14522 ipamworldwide. com. owHoS6b1xTNKuzJjgJs3 nLA Kwr- 

LehnfixVjAF2T6 RHu4dVmq4wlp + FNC Oji2BkWKOhjY3 + 7jU4doFr/RNioe8 vmsqyn 

R5 YeSSRzzF y/d63 Riz3 bQ5 BANbGRqpTn6Q9 HQIlm + KYSpwY5CrjqOQnP + 
Ynme4nhT9 

+ z8hSahdwtK9 EtI = 

;; AUTHORITY SECTION; 

ipamworldwide. com. 86400 IN NS ns. ipamworldwide. com. 

ipamworldwide. com. 86400 IN RRSIG NS 5 2 86400 20100525173519 

20100425173519 14522 ipamworldwide. com. OLonIvBmJZDEZoRRvOiq7 GnlWnr- 

8LTWHtKSR60CJNI3 hd23 Vvkbq/EkV 

46wp60K6Q0qNtJGE + YqFW9xml7d6kQRZOqlyCiDZqHQinV7 LlAa0Da8z5 + 

UGduD3 gVLceES7 lvGZpLlbyUm9kFGf5 FhPZ/ 

JciPF4qKUdAvfEeitu/aY = 

;; ADDITIONAL SECTION, 

ns. ipamworldwide. com. 86400 IN A 10. 1. 32.4 

ns. ipamworldwide. com. 86400 IN RRSIG A 5 3 86400 20100525173519 

20100425173519 14522 ipamworldwide. com. IHtLJaWam57mVoYCgFqlEPC9N9p7n- 

Wicy7 MBvdQP6PgNfhnOTOg2vQHR rQRDdBWBmgaSRoiWSdF21IQTEfH4 T1659 1 - 

OEjtBnPR/7zRAxU9 abnkUDvGCZsA FfqKfWxBZFrxUTbxloekEhMC98 FqCnvaRIsLNY- 
biP/ 

OKhehWmBF nlA = 

已 经 接收 到 RRSet (数据 ) 和 RRSIG (4%) 的 递归 服务 器 或 解析 器 ， 如 果 DN- 
SKEY RRSet 没有 被 缓存 或 在 响应 的 附加 节 中 提供 的 话 ， 之 后 递归 服务 器 或 解析 器 会 
发 出 一 条 DNSKEY 查询 ， 以 便 得 到 DNSKEY RRSet。 采 用 标签 14522 的 密 钥 处 理 
RRSIG 记录 中 的 签名 ， 并 与 RRSet 内 和 资源 记录 串 接 在 一 起 的 RRSIG RData (去 掉 签 
名 ) 的 散 列 比较 。 如 果 比 较 得 到 一 次 匹配 ， 则 签名 被 成 功 核 验 通过 。 接 下 来 ，DNS- 
KEY RRSet 的 RRSIG 被 用 来 核验 ZSK 本 身 。 和 刚刚 描述 核验 A RRSet 一 样 ， 解 析 器 
或 递归 服务 器 实施 一 种 类 似 的 计算 ， 就 公开 KSK 签名 来 核验 DNSKEY RRSet。 考 虑 成 
功 的 匹配 和 这 样 的 事实 ， 即 公开 KSK 匹配 一 个 配置 的 信任 密 钥 ， 因 此 我 们 就 成 功 地 
核验 了 RRSet 数据 。 


13.4.2 经 过 认证 的 存在 性 拒绝 


如 果 我 想 查 询 一 个 主机 名 ， 但 我 敲 错 了 ,会 发 生 什么 呢 ? 在 没有 DNSSEC 条 件 
下 ,我 将 接收 到 一 条 错误 (NXDOMAIN) 信息 ， 指 明 记录 不 存在 。 为 了 解决 这 种 潜 
在 的 弱点 ，DNSSEC 集成 下 一 条 安全 (Next SECure, NSEC) 信息 资源 记录 ,提供 匹 
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配 查询 的 一 条 记录 不 存在 性 认证 的 一 种 方法 。 本 质 上 而 言 ，NSEC 记录 在 区 域 文件 内 
从 一 个 RRSet 指向 下 一 个 RRSet， 识 别 RRSet 之 间 的 间距 。NSEC 记录 的 格式 如 下 。 


属 主 RData 


ns2. ipamww. com. A AAAA RRSIG NSEC 





nsl. ipamww. com. 


在 这 个 例子 中 ， 与 属 主 nsl. ipamww. com 关联 的 NSEC 记录 ， 指 明 以 规范 顺序 表 
示 的 下 一 个 属 主 名 是 ns2. ipamww. com， 这 个 属 主 名 (nsl) 与 类 型 为 A、AAAA、 
RRSIG 和 NSEC 的 资源 记录 一 起 存在 。 这 条 记录 指明 ， 在 nsl. ipamworldwide. com 和 
ns2. ipamworldwide. com 之 间 不 存在 规范 化 的 任何 记录 ， 例 如 nsla. ipamworldwide. com, 
每 个 NSEC RRSet 也 采用 私有 ZSK 签名 ， 私 有 ZSK 接 下 来 和 一 个 信任 KSK 进行 比 对 
核验 。 

NSEC3 提供 RRSet 的 类 似 经 过 认证 的 存在 性 拒绝 指示 ， 但 它 也 在 区 域 中 混杂 RR- 
Set 的 平凡 枚 举 ， 这 被 认为 是 一 项 信息 安全 风险 。 因 为 NSEC3 记录 使 用 一 个 精 选 值 
(salt) 和 经 过 散 列 处 理 过 的 属 主 姓名 ， 这 进一步 使 散 列 字段 产生 函数 复杂 化 了 ， 要 
枚 举 该 区 域 ， 从 计算 角度 看 代价 是 较 高 昂 的 。 如 此 ， 当 对 区 域 签 名 以 及 当 对 指明 记录 
不 存在 的 查询 解析 进行 核验 时 ， 计 算 代价 也 是 高 昂 的 。 


13.4.3 在 一 个 信任 链 中 的 父 区 域 委 派 


现在 让 我 们 扩展 我 们 的 例子 ,来 形象 地 说 明生 成 到 一 个 信任 锚 点 的 内 部 区 域 信任 
链 中 DS 记录 的 角色 。 考 虑 图 13-3， 其 中 我 们 从 解析 的 数据 到 信任 锚 点 一 路 仔细 研 
究 。 让 我 们 假定 ipamworldwide. com. 区 域 ( 密 钥 ID =06082) 的 公开 KSK 被 配置 为 我 
的 递归 服务 器 中 的 一 个 信任 销 点 。 当 我 发 出 对 host. child. ipamworldwide. com. 的 一 条 
A 记录 查询 时 ， 名 字 解 析 遵 循 传统 的 域 树 遍历 过 程 ， 以 便 得 到 一 个 缓存 的 或 权威 的 答 
案 。 假 定 我 设置 了 DO 比特 ， 则 返回 解析 RRSet 和 对 应 的 RRSIG 记录 。 递 归 服 务 器 可 
采用 child. ipamworldwide. com 的 ZSK ( 密 钥 ID =98211) 核验 RRSIG， 如 图 13-3 中 标 
记 “1” 的 箭头 所 示 。 接 下 来 ， 依 据 步 骤 2， 可 采用 区 域 的 KSK ( 密 钥 ID = 45443 ) 
核验 ZSK。 考 虑 到 我 没有 将 这 个 KSK 配置 为 一 个 信任 锚 点 ， 所 以 我 不 能 信任 这 个 数 
据 。 但 是 ， 递 归 服 务 器 查询 父 区 域 ipamworldwide. com， 查 询 一 条 DS 记录 ， 来 确定 是 
否 父 区 域 可 认证 这 个 区 域 的 数据 。 这 个 过 程 如 图 13-3 中 的 步骤 3 所 示 。 

如 果 DS 记录 摘要 匹配 相应 的 child. ipamworldwide. com 区 域 的 KSK DNSKEY 数据 ， 
则 我 就 能 够 得 出 结论 ， 即 ipamworldwide. com. 区 域 已 经 对 child. ipamworldwide. com 的 
委派 进行 了 签名 。 之 后 递归 服务 器 将 DS 记录 上 的 签名 与 ipamworldwide. com 的 ZSK 
(CEH ID = 14522) 核验 ， 接 下 来 是 它 的 KSK ( 密 钥 ID = 06082) ， 后 者 被 配置 为 一 个 
信任 密 钥 。 因 此 ， 通 过 反 向 到 一 个 配置 的 信任 锚 点 的 信任 链 ， 我 们 确认 原始 数据 被 解 
析 为 信任 的 。 对 于 沿 域 树 向 上 到 签名 根 域 的 任何 数量 的 父 区 域 - 子 区 域 重复 ， 可 使 用 
根 区 域 信任 锚 点 ， 重 复 这 个 相同 的 过 程 。 最 终 我 必须 在 我 的 查询 可 施用 的 区 域 或 其 祖 
先 区 域 之 一 配置 一 个 信任 密 钥 。 考 虑 各 种 区 域 (包括 反 向 区 域 ) ， 它 们 需要 对 查询 进 
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ipamworldwide.com. 区 域 














@DNSKEY 06082;KSK 
DNSKEY 14522;ZSK 
RRSIG(06082) 
子 DS(45443) 
RRSIG DS(...) 


(2) @DNSKEY(45443);KSK 
DNSKEY(98211);ZSK 
RRSIG DNSKEY(45443) 


主机 A 10.10.10.1 
主机 RRSIG A(98211) 








child.ipamworldwide.com. K+ © 


Al 13-3 DNSSEC 信任 链 遍 历 


行 认证 ， 这 个 信任 锚 点 集 可 快速 地 变 得 非 
BEX. 

DNSSEC 旁 查核 验 ， 作 用 为 在 根 区 域 
被 签名 时 间 之 前 ， 有 助 于 保持 信任 锚 点 集 
合 在 一 个 可 管理 的 水 平 。DLV 利用 签名 
区 域 公开 密 钥 的 一 个 中 心 式 注册 库 (reg- 
istry) 。 通 过 将 DLV 注册 库 配置 为 一 个 信 
任 锚 点 ， 由 此 您 可 信任 DLV 注册 库 和 所 
有 它 认 证 的 “ 子 ” 区 域 。 这 些 区 域 不 是 
DLV 的 真正 子 区 域 ， 而 是 DLV 认证 的 区 
域 。 区 域 管理 员 以 一 种 安全 的 方式 将 它们 
签名 的 区 域 密 钥 注册 到 DLV 注册 库 ， 以 





图 13-4 DLV 信任 链 


此 维护 这 个 “ 旁 查 ”或 “ 旁 路 ”( sideways) 信任 链 ， 这 与 我 们 刚 讨论 的 域 树 父 - 子 信 


任 链 截然 不 同 。 


图 13-4 形象 地 说 明了 这 个 概念 。 在 没有 根 和 TLD 区 域 签名 的 条 件 下 ， 不 得 不 针 
对 每 个 信任 区 域 配置 信任 密 钥 。 在 图 中 ， 这 些 被 表示 为 ipamww. com, 192. in-ad- 
dr. arpa 和 一 个 .net 区域。 通过 使 用 DLV HEA, DLV 对 DS 等 价 的 DLV 记录 进行 签 
名 ， 目 的 是 认证 每 个 “ 子 ” 区 域 的 KSK。 一 个 DLV 注册 库 的 优势 是 在 您 的 组 织 机 构 
中 的 每 台 递 归 服 务 器 中 降低 被 管理 的 密 钥 数量 。 如 图 13-4 所 示 ， 如 果 DLV 对 三 个 区 
域 密 钥 签名 ， 则 您 仅 需 要 关注 DLV 的 密 钥 轮换 (rollover) ， 而 不 是 作为 组 成 部 分 的 这 
三 个 密 钥 。 必 须 完 全 地 信任 DLV 注册 库 ， 原 因 是 它 所 认证 的 区 域 不 是 为 注册 库 用 户 


可 选择 接受 的 〈 即 必须 接受 ) 。 
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针对 DLV 注册 库 ， 必 须 输 入 一 个 信任 密 钥 语句 ， 且 仅 有 一 个 DLV 注册 库 可 被 如 
此 引用 。 如 我 们 在 前 面 所 展示 的 ， 通 过 将 DLV 的 公开 KSK 配置 在 trusted-keys 语句 块 
的 做 法 ， 在 递归 名 字 服 务 器 中 识别 DLV。 当 在 名 字 解 析 过 程 中 构建 一 个 信任 链 时 ， 递 
归 服 务 器 将 尝试 构建 指向 一 个 配置 信任 锚 点 的 反 向 链 ; 如 果 不 存 在 一 条 有 效 的 链 ， 它 
将 尝试 通过 DLV 核验 信任 链 。DLYV 注册 库 必 须 能 够 认证 其 注册 的 区 域 ， 这 很 像 一 个 
父 区 域 核验 其 子 区 域 KSK 的 方式 。DLY 资源 记录 用 于 这 个 目的 ， 其 格式 等 同 于 DS 资 
源 记 录 类 型 。 它 实施 一 个 等 价 的 功能 ， 但 不 是 在 传统 的 父 - 子 委派 链 中 执行 。 










RData 


Ame ”算法 ”类 型 摘要 
32284 5 1 90df80DF891Le. .. . 


属 主 
DLV 域 














ipawmww. com. dlv_reg. net. 


当 递 归 服 务 器 发 出 其 最 后 一 招 ， 尝 试 核验 一 个 区 域 中 的 数据 时 ， 它 在 DLV 注册 
库 中 寻找 对 应 于 那个 存在 问题 区 域 的 DLV 记录 。 在 递归 服务 器 中 是 通过 dnssec-looka- 
side 语句 识别 DLV 注册 库 的 ， 这 种 语句 配置 在 named. conf 的 选项 块 内 。 这 条 语句 识 
别提 升 到 DLV 注册 库 的 域 树 分 支 是 有 效 的 ， 以 及 到 信任 锚 点 的 一 个 索引 ， 该 信任 
锚 点 是 在 trusted-keys 语句 中 识别 的 。 例如， 下 面 的 语句 表明 ， 在 gov. domain 内 的 
解析 可 被 提升 到 dlv. us. 并 被 信任 ， 条 件 是 dlv. us 公开 KSK 匹配 配置 的 dlv. us 信任 
密 钥 。 


dnssec-lookaside “gov” trust-anchor “dlv. us”; 


13.5 密 钥 轮换 


DNSSEC 管理 上 最 密集 的 任务 是 处 理 密 钥 轮换 过 程 ， 特 别 是 KSK 轮换 过 程 MK 
密码 一 样 ， 密 钥 必 须 被 周期 性 地 改变 。 最 好 的 方法 ， 是 向 可 能 的 攻击 者 提供 一 个 移动 
的 目标 。 独 立 的 密 钥 签名 和 区 域 签 名 密 钥 的 用 法 ， 有 助 于 这 个 过 程 的 管理 。 这 是 由 于 如 
下 事实 ， 即 在 不 影响 任何 其 他 人 的 条 件 下 ， 任 何 一 名 区 域 管理 员 均 可 使 用 一 个 ZSK 简单 地 
对 他 的 /她 的 区 域 重新 签名 。 无 论 何 时 使 用 ZSK 时 ， 它 最 终 都 是 采用 KSK 签名 的 ，KSK 可 
被 配置 为 一 个 信任 锚 点 或 由 一 个 DS 或 DLV 资源 记录 索引 。 因 此 ，ZSK 可 依据 意愿 进行 改 
变 。 但是， 因为 各 KSK 被 配置 为 信任 锚 点 ， 并 可 能 为 其 他 区 域 的 DS 或 DLV 记录 索引 ， 所 
以 它们 确实 会 影响 其 他 管理 员 ， 并 要 求 采 用 一 个 非常 严格 的 集成 过 程 。 

用 于 密 钥 轮 换 的 两 种 基本 方法 是 预 产 生 (preseeding) HH] 〈 对 应 ZSK 轮换 是 有 
效 的 ) 和 双 密 钥 签 名 方法 〈 可 被 用 于 轮换 KSK) 。 密 钥 发 行 〈 不 是 有 意 的 双关 语 ( 指 
issue) ) 和 轮换 与 递归 服务 器 和 解析 器 中 被 缓存 解析 和 签名 信息 的 更 新 有 关 。 当 一 个 
解析 器 得 到 认证 的 解析 信息 时 ， 它 将 在 原始 记录 TTL 的 时 间 段 内 缓存 这 个 信息 ， 包 
括 含 ZSK 和 KSK 的 DNSKEY 记录 。 在 TTL 超期 之 后 ， 解 析 器 必须 发 出 请 求 相应 信息 
的 一 条 新 查询 。 如 果 一 名 区 域 管理 员 实施 一 个 新 密 钥 蔡 换 一 个 旧 密 钥 的 瞬间 切换 
(flash cut) ， 则 以 月 密 钥 (依据 其 TTL 仍然 有 效 ) 实施 查询 的 解析 器 和 递归 服务 器 ， 
将 不 能 够 认证 该 区 域内 使 用 新 密 钥 签 名 的 所 解析 数据 。 图 13-5 形象 地 说 明了 这 种 时 
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间 影 响 。 因 此 ， 维 护 一 个 窗口 ， 在 其 间 密 钥 更 新 密 钥 , 新 的 签名 
更 新 可 被 传播 且 两 个 或 多 个 密 钥 都 是 有 效 


| 
的 ， 这 构成 基本 的 轮换 技术 。 f 权威 的 
ZSK KSK ) 立 发 o 
和 KSK 轮换 应 该 是 独立 发 生 的 。 我 们 Gus. 
时 实施 查询 


让 我 们 首先 考虑 图 13-6， 讨 论 和 比较 两 tay 
种 常见 的 轮换 策略 。 如 果 ， 如 果 可 能 的 话 ， PPT 

将 假定 预 产 生 策略 被 应 用 到 ZSK 轮换 ， 而 双 

密 钥 签名 方法 被 应 用 到 KSK 轮换 。 首 先 研 。 当 TTL 起 期 | 

究 ZSK 轮换 ， 我 们 的 初始 条 件 是 ， 一 个 区 域 

以 ZSK [ 密 钥 标签 ] 14522 和 KSK 6082 签 外 递归 服务 器 


名 ， 由 笔 形 图 符 指 示 。 在 时 间 t。， 预 产生 时 TTAR 

间 为 ls， 产生 “被 动 的 ”ZSK 28004， 使 用 。 时 实施 查询 / \ 

的 是 dnssec-keygen 工具 或 通过 BIND 9.7 + Q Q 桩 解析 器 
自动 化 方法 ， 其 相应 的 DNSKEY 资源 记录 被 

包括 在 区 域 文件 中 ,还 有 主动 的 ZSK 14522, 图 13-5 区域 信 息 传播 


在 区 域 文件 中 插入 或 包括 ZSK 28004 之 后 ， 
必须 对 区 域 重新 签名 ,仍然 使 用 的 是 ZSK 14522。 被 动 的 ZSK 本 身 使 用 主动 密 钥 签 
名 ,并 可 由 解析 髓 和 递归 服务 器 缓存 ， 但 还 没有 用 来 对 区 域 数据 签名 。 

一 旦 发 布 的 话 ， 这 两 个 密 钥 都 应 该 保留 在 区 域 文件 中 ， 直 到 所 有 从 属 服务 器 通过 
区 域 传递 得 到 区 域 文件 ， 以 及 密 钥 超期 时 间 之 后 ， 才 可 被 去 除 。 密 钥 超 期 时 间 应 该 比 
区 域 或 资源 记录 TTL 要 长 。 当 在 时 间 1, (轮换 时 间 ) 过 了 这 个 时 间 时 , 对 该 区 域 重 
新 签名 ， 这 次 使 用 的 是 前 面 的 被 动 ZSK 28004。 在 等 价 间隔 期 间 ， 直 到 时 间 所 之 
前 ， 前 面 的 主动 ZSK 可 留 在 区 域 之 中 ， 之 后 会 从 区 域 文 件 中 被 去 除 。 取 决 于 ZSK 
轮换 的 频率 ， 时 间 t 可 对 应 于 下 一 个 密 钥 轮换 周期 的 i， 其 中 区 域 将 总 是 有 两 个 
ZSK， 一 个 是 主动 的 、 一 个 是 被 动 的 。 和 否则， 在 这 个 时 间 点 ， 仅 有 主动 ZSK 存在 于 
区 域内 。 





ipamworldwide.com 区 域 文件 

KSK 6082 

ZSK 14522 心志 [ipamworldwide.com 区 域 文件 
6082 


















ipamworldwide.com 区 域 文件 
KSK 6082 

ZSK 14522 
ZSK 28004 


ipamworldwide.com 区 域 文件 
KSK 6082 










ZSK 28004 





1 


图 13-6 DNSSEC 预 产 生 密 钥 轮换 策略 0 


现在 让 我 们 详细 研究 双 密 钥 签 名 轮换 方法 ， 如 图 13-7 所 示 。 这 个 过 程 开始 时 与 
我 们 前 一 个 例子 中 的 初始 条 件 相 同 。 在 轮换 时 间  ， 使 用 带 有 -k 选项 的 dnssec- keygen 
工具 生成 一 个 新 的 KSK70810。 现 在 利用 当前 KSK、 新 的 KSK 以 及 主动 ZSK, 使 用 
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ipamworldwide.com 区 域 文件 
KSK 6082 [A 


ZSK 14522 A 
















ipamworldwide.com 区 域 文件 
KSK 70810 


ZSK 14522 AP 


ipamworldwide.com 区 域 文件 


图 13-7 DNSSEC 双 密 钥 签名 密 钥 轮换 策略 [1 


dnssec-signzone 工具 对 区 域 签 名 。 回 顾 一 下 ，dnssec-signzone 允许 指定 多 个 KSK。 之 
后 必须 将 新 KSK 的 公开 密 钥 传 递 给 利用 这 个 区 域 作 为 一 个 信任 锚 点 的 所 有 解析 器 / 递 
归 服 务 器 。 另 外 ， 必 须 更 新 认证 这 个 区 域 的 父 区 域 。 

当 使 用 -g 选项 时 ，dnssec-signzone 工具 的 一 个 输出 包括 一 个 dsset- < zonename > 
文件 ， 该 文件 包含 可 包括 在 父 区 域 文件 中 的 相应 DS 资源 记录 (可 能 是 多 条 记录 ) 。-1 
选项 生成 一 个 dlvset- < zonename > 文件 ， 该 文件 包含 相应 的 DLV 资源 记录 。 父 区 域 或 
DLV 管理 员 必 须 复制 或 包括 这 些 DS 或 DLV 记录 (分 别 情况 处 理 )， 并 对 父 区 域 重 新 
签名 。 考 虑 到 在 父 区 域 和 解析 器 /递归 服务 器 上 实施 这 些 任 务 所 要 求 的 人 工 配 置 ， 相 
比 于 预 产 生 方法 ， 这 个 时 间 帧 是 不 太 确定 的 。 一 旦 这 个 时 间 消 逝 ， 且 父 区 域 和 信任 锚 
点 配置 被 更 新 ， 则 旧 KSK 可 从 区 域 文件 中 去 除 ， 并 仅 可 使 用 新 近 的 KSK 对 区 域 重新 
签名 ， 如 在 时 间 i 所 示 情 况 。 

在 出 现 对 应 于 一 个 主动 KSK 或 ZSK 的 一 个 私有 密 钥 被 破解 情况 下 ， 应 该 设计 紧 
急 轮换 过 程 。 如 果 一 名 攻击 者 得 到 私有 密 钥 ， 他 /她 会 伪造 区 域 数 据 ， 并 使 用 私有 密 
钥 对 其 签名 。 解 析 器 和 递归 服务 器 将 依据 对 应 的 发 布 的 公开 密 钥 ， 认 证 伪造 的 数据 。 
如 我 们 看 到 的 ，ZSK 可 被 强制 性 地 改变 ， 所 以 此 时 应 该 立即 改变 ZSK。 但 是 ， 改 变 
KSK 确实 要 求 比较 广泛 的 参与 和 协作 。 我 们 建议 对 紧急 轮换 的 过 程 形成 文档 ， 它 包 
括 父 区 域 管理 员 和 DLV 注册 库 联系 方式 ， 以 及 联系 用 户 的 一 种 方式 ， 这 些 用 户 将 该 
KSK 配置 为 一 个 信任 锚 点 。 这 可 通过 一 个 注册 (registered) 电子 邮件 列表 和 安全 网 站 
发 布 来 完成 。 

密 钥 更 新 的 另 一 个 方面 是 算法 轮换 。 这 涉及 使 用 一 种 新 的 密 钥 生成 算法 ， 例 如 作 
为 一 个 算法 破解 或 升级 的 结果 而 启用 。 就 改变 密 钥 本 身 而 言 ， 上 面 描述 的 双 密 钥 签 名 
过 程 可 被 用 来 使 用 新 算法 产生 密 钥 ， 并 将 密 钥 轮换 投入 使 用 。 


13.5.1 自动 的 信任 锚 点 轮换 


RFC 5011" 定义 了 自动 化 信任 锚 点 轮换 的 一 种 方法 ,目的 是 降低 在 所 有 解析 
器 /递归 服务 器 上 更 新 信任 密 钥 的 管理 方面 的 影响 ， 这 些 解 析 器 /递归 服务 器 使 用 这 个 
区 域 作为 一 个 信任 锚 点 。 这 个 自动 化 方法 要 求 针 对 信任 锚 点 区 域 ， 进 行当 前 公开 KSK 
的 初始 配置 。 但 不 像 人 工 配置 的 是 ， 在 每 次 发 生 信任 锚 点 KSK 变化 时 ， 不 需要 人 工 
的 更 新 。 可 在 BIND 9.7 及 以 上 版 本 中 使 用 managed-keys 语句 ， 在 一 台 递 归 BIND 服 
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务 器 中 配置 自动 化 的 信任 锚 点 更 新 。 初 始 信任 密 钥 将 被 用 来 核验 使 用 DNS 协议 传递 
的 未 来 密 钥 事务 。 解 析 器 必须 周期 性 地 查询 信任 锚 点 ， 查 询 其 DNSKEY RRSet， 以 便 
检查 更 新 。 如 果 一 个 新 的 密 钥 添加 正确 ， 它 将 自动 地 被 认为 是 该 区 域 的 一 个 有 效 信任 
锚 点 密 钥 ， 条 件 是 被 当前 信任 密 钥 签名。 如 果 当 前 信任 密 钥 被 撤销 ， 且 由 区 域 的 信任 
密 钥 〈 可 能 是 多 个 密 钥 ) 签名 ， 则 信任 密 钥 将 自动 地 从 处 理 中 被 清除 。 因 此 在 man- 
aged-keys 语句 中 配置 的 初始 密 钥 ， 仅 被 用 作 信任 锚 点 初始 条 件 ; 这 个 密 钥 可 在 未 来 
被 撤销 ， 且 DNS 服务 器 自动 地 跟踪 当前 信任 密 钥 的 状态 。 

图 13-8 给 出 解析 器 角度 来 看 的 信任 密 钥 的 一 个 状态 图 ， 依 据 的 是 通过 核验 过 的 
(由 当前 信任 密 钥 (可 能 有 多 个 密 铀 ) 签名 ) DNSKEY 查询 检索 到 的 密 钥 状 态 。 当 在 
DNSKEY RRSet 内 的 服务 器 检索 一 个 新 的 SEP 密 钥 (信任 锚 点 ) 时 ， 密 钥 进 入 Add 
Pending (添加 进行 中 ) 状态 。 这 个 状态 有 助 于 缓解 如 下 情形 ， 其 中 一 名 攻击 者 已 经 
破解 信任 密 钥 ， 并 寻求 使 解析 器 信任 来 使 用 攻击 者 的 新 密 铀 。 如 果 在 add hold down 
(添加 抑制 ) 定时 器 过 程 中 的 任何 时 间 ， 解 析 器 在 DNSKEY RRSet 中 都 没有 看 到 进行 
中 的 密 钥 ， 则 将 认为 该 密 钥 是 无 效 的 。 在 这 个 间隔 过 程 中 ， 一 名 攻击 者 要 对 每 次 DN- 
SKEY 查询 都 正确 地 做 出 响应 ， 将 是 非常 具有 挑战 性 的 。 一 旦 抑制 定时 器 过 期 ， 则 信 
任 密 钥 进入 有 效 状态 ， 并 被 认为 是 区 域 的 一 个 有 效 信任 密 钥 。 在 这 个 状态 MRE H 
从 DNSKEY RRSet 中 丢失 ， 则 将 被 认为 是 丢失 了 ( Missing) ， 但 在 重新 出 现时 ， 会 以 
有 效 的 签名 将 其 重新 恢复 到 有 效 状态 。 






带 有 新 SEP 
密 钥 的 有 效 
DNSKEY RRSet 


在 定时 器 超时 之 前 
设 有 SEP 密 钥 的 有 效 
DNSKEY RRSet 





SEP 密 钥 撤销 比特 设置 


且 由 这 个 密 钥 签名 的 有 
直到 定时 器 超时 之 前 效 DNSKEY RRSet 
带 有 这 个 SEP 密 钥 的 带 有 SEP 密 钥 的 有 效 






有 效 DNSKEY RRSet DNSKEY RRSset 








没有 SEP 密 钥 的 
有 效 DNSKEY RRSet 


图 13-8 ”信任 锚 点 (SEP) 状态 图 [143] 


当 由 于 密 钥 在 其 寿命 中 的 年 龄 (到 期 ) 或 因为 密 钥 被 破解 ， 区 域 管 理 员 期 望 撤 
销 该 密 钥 时 ， 该 密 钥 将 以 DNSKEY 标志 字段 中 设置 撤销 比特 的 方式 发 布 在 区 域 之 中 。 
除了 任何 其 他 主动 的 或 进行 中 (pending) 的 信任 密 钥 外 ， 这 个 密 钥 必须 被 用 来 签名 
DNSKEY RRSet。 在 这 种 情形 中 ， 该 密 钥 将 被 认为 被 撤销 了 。 可 从 有 效 状 态 或 丢失 状 
态 ， 进 入 这 个 状态 。 服 务 器 启动 一 个 消除 抑制 定时 器 ， 当 超期 时 ， 激 发 从 服务 器 配置 
中 消除 信任 密 钥 的 操作 。 
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13.5.2 DNSSEC 和 动态 更 新 


区 域 签 名 过 程 要 求 一 个 区 域 的 规范 排序 ， 之 后 才 是 签名 ， 在 这 种 情况 下 ， 您 可 能 
会 疑惑 ， 即 人 们 如 何 将 一 条 新 的 资源 记录 安全 地 插 人 到 该 区 域 中 呢 ? 幸运 的 是 ， 区 域 
签名 并 不 要 求 对 整个 区 域 进行 重新 处 理 ， 而 是 对 个 体 RRSet 签名 的 ， 这 种 做 法 使 一 个 
比较 模块 化 的 过 程 成 为 可 能 。 但 是 ， 为 考虑 更 新 ， 必 须 调整 NSEC [3] 记录 ， 方 法 
是 调整 规范 排序 ， 才 能 有 效 地 插入 更 新 。 

当 动 态 地 更 新 一 个 安全 的 区 域 时 ,更 新 本 身 必须 是 安全 的 。 服 务 器 应 该 要 求 对 更 
新 消息 进行 签名 ， 并 应 该 定义 哪些 服务 器 或 网 络 会 实施 更 新 。 当 接收 到 一 条 更 新 ， 并 
认证 通过 时 ， 它 被 保留 在 日 志文 件 内 。 为 了 对 带 有 更 新 的 区 域 完整 地 进行 签名 ， 服 务 
器 必须 临时 地 冻结 动态 更 新 ， 当 使 用 pre-BIND 9.6 时 ,使 用 的 是 mde freeze 命令 。 这 
就 关闭 了 动态 更 新 的 接收 。 一 旦 冻结 ， 则 必须 使 用 dnssec-signzone 功能 对 区 域 重 新 签 
名 。 之 后 ， 可 使 用 mde thaw 命令 重新 激活 动态 更 新 。 

在 BIND 9.6 及 以 上 版 本 中 已 经 消除 了 这 个 人 工 冻 结 签名 解冻 (freeze-sign-thaw) 
过 程 ， 在 这 些 版 本 中 为 动态 更 新 添加 了 一 个 自动 地 签名 机 制 ， 这 极 大 地 简化 了 这 个 过 
程 。 与 其 将 正常 的 日 志 更 新 集成 到 区 域 文件 一 起 ，BIND 使 用 ZSK 以 及 相应 的 “之 
前 ”和 “之 后 ”的 NSEC [3] 记录 ， 对 每 条 更 新 签名 ， 从 而 规范 地 将 记录 插入 到 区 
域 之 中 。 在 签名 接近 超期 时 ，BIND 9.6 也 周期 性 地 检查 区 域 的 签名 。 在 这 样 的 情形 
中 ,那么 它 将 自动 地 生成 新 的 密 钥 。 为 了 实施 这 个 自动 化 的 签名 过 程 ，BIND 必须 可 
访问 ZSK 私有 密 钥 ， 以 便 对 记录 进行 签名 或 重新 签名 。 


13.5.3 DNSSEC 部 署 考 虑 


为 了 简化 DNSSEC 实现 过 程 ，BIND 为 密 钥 生 成 和 对 区 域 签名 ， 提 供 了 几 项 工具 
设施 。 但 是 ， 当 决定 部 署 DNSSEC 时 ,仔细 地 考虑 如 下 方面 : 

(1) 确定 您 希望 对 哪些 区 域 签 名 。 一 般 而 言 ， 要 考虑 签名 的 首要 的 、 也 许 是 唯 
一 的 区 域 是 您 的 公开 区 域 或 外 部 区 域 。 这 些 区 域 使 用 户 可 安全 地 解析 您 的 公开 名 字 空 
间 ， 并 降低 一 名 攻击 者 “冒充 ”您 的 区 域 的 概率 。 通 过 因特网 的 合作 方 连接 应 该 做 
类 似 考虑 。 否 则 ， 内 部 信息 的 内 部 解析 ， 通 常 在 多 数组 织 机 构 内 部 被 认为 是 可 信和 的。 

(2) 如 我 们 已 经 看 到 的 ， 一 个 签名 区 域 文 件 的 尺寸 ， 要 远大 于 一 个 对 应 未 签名 
区 域 文件 的 尺寸 。 对 于 大 型 区 域 ， 这 可 能 影响 必 备 的 服务 器 内 存 和 区 域 载 人 时 间 。 

(3) 对 您 的 区 域 签 名 的 做 法 , 保护 的 是 您 的 名 字 空 间 的 完整 性 ， 而 不 是 您 的 
DNS 缓存 的 完整 性 。 考 虑 在 您 的 因特网 查询 DNS 服务 器 上 配置 DNSSEC 核验 。 

(4) 考虑 到 附 接 上 RRSIG 记录 以 及 对 应 于 查询 的 可 能 DNSKEY 记录 ， 一 条 给 定 
查询 的 解析 响应 也 会 增长 得 较 巨 大 。 这 可 能 负面 地 影响 查询 响应 时 间 和 性 能 。 

(5) 解析 过 程 性 能 也 可 进一步 受到 信任 锚 点 确认 过 程 的 负面 影响 ， 其 中 密 钥 和 
委托 签名 者 记录 要 被 核验 ， 可 能 会 到 达 信任 锚 点 区 域 或 DLV 注册 库 。 

(6) DNSSEC 引入 对 时 间 同 步 的 要 求 ， 其 中 给 定 绝对 时 间 参 考 ， 在 RRSIG 记录 
中 指明 有 效 时 间 和 超期 时 间 。 
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(7) 通过 跳 过 NSEC 记录 的 区 域 踪迹 法 ， 是 一 个 潜在 的 信息 过 度 暴露 ， 虽 然 
NSEC3 记录 使 这 个 过 程 比较 困难 。 考 虑 区 域 踪 迹 法 对 您 而 言 是 否 真 是 一 个 问题 (一 
般 情 况 下 ， 在 DNS 中 发 布 的 信息 是 公开 信息 ) ， 这 源 于 在 一 个 签名 区 域内 产生 NSEC3 
记录 的 计算 复杂 度 和 潜在 的 大 量 时 间 。 

(8) 用 于 初始 化 和 轮换 的 密 钥 更 新 过 程 ， 必 须 设 计 成 如 下 方式 ， 即 如 果 您 的 信 
任 解析 器 没有 使 用 自动 化 的 信任 锚 点 更 新 特征 时 ， 通 过 一 种 带 外 机 制 提供 对 更 新 KSK 
的 认证 访问 。KSK 公开 密 钥 更 新 ， 必 须 被 传递 到 您 信任 的 所 有 区 域 以 及 您 的 父 区 域 
R DLV (如果 存 在 的 话 ， 则 分 别 采 用 DS 或 DLV 记录 的 形式 ) 。 

(9) DNSSEC 实施 数据 源 发 认证 、 数 据 完整 性 验证 和 经 过 认证 的 存在 性 拒绝 。 它 
不 能 对 第 12 章 介 绍 的 其 他 弱点 类 型 进行 保护 。 不 要 忘记 ， 在 那 一 章 讨论 的 实施 缓解 
战术 以 便 防 护 其 他 弱点 。 





在 本 书 前 三 部 分 讨论 IPAM 的 组 成 部 件 之 后 ， 第 了 部 分 处 理 这 些 部 件 的 集成 管理 
任务 。 我 们 在 第 14 章 开 始 讲述 总 的 IPAM 技术 。 之 后 在 第 15 章 我 们 将 讨论 IPv6 在 一 
个 IPv4 网 络 中 的 实现 和 共存 策略 。 


第 14 章 IPAM 实践 


EAA, BOTT ES, IP 地 址 管理 实践 (IPAM) 包括 将 网 络 管理 学 科 
(discipline) 应 用 到 IP 地 址 空间 和 相关 联 的 网 络 服务 。 因 为 IP 地 址 以 及 相关 联 的 DH- 
CP 和 DNS 功能 ， 对 于 运行 在 一 个 网 络 上 的 IP 服务 和 应 用 而 言 起 到 如 此 的 基础 作用 ， 
所 以 这 些 功 能 必须 得 到 慎重 的 管理 ， 这 非常 像 其 他 关键 性 的 网 络 基础 设施 单元 要 得 到 
管理 一 样 。 将 DNS 和 DHCP 服务 器 看 作 网 元 的 做 法 ， 有 点 超前 ， 这 是 因为 它们 对 一 
个 卫 网 络 上 的 客户 端 而 言 ， 提 供 关 键 的 IP 服务 。 虽 然 不 像 传统 网 元 那样 处 在 用 户 IP 
流量 的 带 内 或 数据 路 径 上 ， 但 它们 提供 使 这 种 带 内 数据 路 径 成 为 可 能 和 有 用 所 要 求 的 
必要 服务 。 从 一 个 电话 智能 网 类 比 看 ， 在 提供 查找 和 寻 址 信息 方面 ，DNS 和 DHCP 接 
近 于 网 络 控制 点 。 所 以 它 遵 循 这 些 服务 器 的 中 心 化 管理 的 做 法 ， 就 是 同样 明智 的 和 有 
益 的 ? 。 

最 普遍 采用 的 网 络 管理 方法 是 用 于 网 络 管理 的 FCAPS 模型 方法 。 出 现 了 信息 技 
术 基 础 设施 库 ITIL”， 作 为 管理 企业 IT 基础 设施 的 一 个 流行 指南 集 。 由 英国 商务 部 
(OGC) 开发 形成 ，ITIL 是 一 个 最 佳 实践 框架 ， 它 的 观点 是 IT 组 织 机 构 是 企业 的 一 个 
服务 提供 者 。 我 们 将 在 FCAPS 模型 的 上 下 文 内 ， 讨 论 共 同 的 IP 地 址 管理 任务 ， 之 后 
在 本 章 末 将 这 些 任务 的 功能 映射 与 ITIL 过 程 域 相关 。 


14.1 FCAPS 概述 


FCAPS 模型 涵盖 网 络 管理 实践 内 的 如 下 关键 功能 。 
(1) 了 = 故障 管理 。 涉 及 网 络 故 障 的 监测 和 检查 ， 采 用 诊断 、 隔 离 和 解决 故障 等 
能 力 。 就 像 网 元 〈 例 如 路 由 器 、 服 务 器 和 交换 机 ) 被 监测 以 便 检查 故障 或 中 断 一 样 ， 


O 本章 的 许多 内 容 映 射出 参考 文献 [11] HOR (和 本 章 有 类 似 标题 ) 的 那些 内 容 。 
© FCAPS 是 作为 管理 数据 网 络 的 电信 管理 网 络 (TMN) 框架 的 组 成 部 分 ， 在 ITU 标准 M. 34000 ef 
定义 的 。 
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DHCP 和 DNS 服务 应 该 类 似 地 被 监测 。 也 可 实现 合适 的 权 变 措施 应 对 ( workaround ) 
机 制 ， 例 如 提供 高 可 用 服务 的 机 制 。 

(2) C= 配 置 管理 。 包 括 网 元 (£ DHCP 和 DNS 服务 器 ) 的 准确 配置 和 备份 。 
网 元 的 准确 和 及 时 配置 ， 降 低 了 改变 管理 窗口 内 的 信息 准备 提供 (provisioning) 错误 
数 和 时 间 间 隔 。 

(3) A = 记 账 管理 。 涉 及 网 络 资源 使 用 的 跟踪 和 监督 ， 是 就 商务 配额 或 顾客 权利 
而 言 的 。 涉 及 访问 控制 策略 的 IP 管理 方面 、 就 商务 参数 的 地 址 利用 率 以 及 监测 服务 
水 平 协 议 (SLA) 符合 度 等 都 落 在 记 账 管理 范围 内 。 

(4) P= 性 能 管理 。 处 理 网 元 和 服务 等 的 性 能 跟踪 以 及 资源 利用 率 。IP 地 址 利用 
率 和 DHCP/DNS 服务 器 性 能 跟踪 ， 是 有 效 IP 地 址 管理 的 关键 要 求 。 

(5) S= 安 全 管理 。 包 括 就 网 络 及 其 用 户 的 信息 安全 保障 、 提 供 访 问 控制 以 及 审 
计 日 志和 安全 漏洞 检测 。IP 地 址 管理 的 安全 管理 包括 P 地 址 访问 策略 、 审 计 、DNS 
和 DHCP 安全 以 及 网 络 上 坎 诈 或 违法 设备 检测 。 


14.2 ”共同 的 IP 管理 任务 


使 用 基本 的 FCAPS 功能 分 类 ， 我 们 将 讨论 共同 的 IP 管理 任务 ,以 “配置 ” 开 
始 ， 之 后 逐步 移 向 其 他 分 类 。 取 决 于 您 的 卫 管理 系统 能 力 ， 一 些 功能 可 能 要 求 使 
用 多 个 管理 系统 。 例 如 ， 如 果 您 的 卫 管 理 系 统 由 空白 表格 程序 组 成 ， 则 您 将 需要 
另 一 个 工具 来 实施 故障 管理 功能 。 类 似 地 ， 商 用 的 IP 管理 系统 ， 在 其 系统 内 本 身 
就 有 不 同 的 功能 和 任务 子 集合 ， 而 其 他 系统 将 要 求 额 外 的 互补 性 (supplemental ) 
系统 。 


14.3 配置 管理 


当 多 数 人 想到 IPAM 时 ， 他 们 主要 会 认为 它 是 一 个 配置 管理 机 制 。 早 期 的 IPAM 
系统 事实 上 仅 将 焦点 放 在 配置 管理 上 ， 虽 然 随 着 时 间 推 移 ， 许 多 系统 已 经 扩展 到 
FCAPS 的 其 他 方面 。 尽 管 如 此 ， 配 置 管理 仍然 是 IPAM 的 一 个 基础 功能 。 在 本 节 ， 我 
们 将 讨论 当 管 理 下 地 址 空间 和 DHCP/DNS 服务 器 配置 时 ， 所 需 的 共同 任务 。 这 些 任 
务 与 一 名 IP 地 址 规划 人 员 的 日 常 活动 有 关 ， 涉 及 IP 地 址 、 子 网 、 地 址 空间 、 域 以 及 
DHCP 和 DNS 配置 等 其 他 方面 信息 的 移动 、 添 加 和 更 改 。 

在 IPAM 上 下 文 内 的 配置 管理 包括 DHCP 和 DNS 服务 器 的 配置 ， 这 两 者 分 别 用 于 
地 址 租赁 和 参数 指派 、 名 字 解 析 。 在 最 小 可 能 情况 下 ， 要 涉及 IPAM 有 关 信 息 的 配 
置 ， 即 地 址 池 和 关联 参数 以 及 DNS 配置 和 区 域 文件 。 配 置 过 程 也 包括 高 可 用 部 署 
和 服务 器 等 级 配置 参数 的 配置 ， 用 于 基于 服务 器 的 或 基于 仪器 的 DHCP/DNS 服务 
器 等 。 

配置 管理 功能 的 结果 是 ， 在 网 络 内 的 每 台 DHCP 和 DNS 服务 器 ,将 以 其 文件 或 
参数 进行 配置 ， 这 是 它们 在 网 络 中 实施 其 相应 角色 所 必要 的 ， 如 用 于 一 组 地 址 池 、 故 
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障 切换 DHCP 配置 、DNS 区 域 、 参 数 和 选项 等 的 主 DHCP 服务 器 。 从 这 个 角度 看 ， 目 
标 是 将 每 台 DHCP 和 DNS 服务 器 的 配置 依据 其 类 型 (例如 ISC, Microsoft 等 ) 、 部 署 
中 的 角色 以 及 它 所 服务 的 网 络 部 分 而 定 。 网 络 部 分 与 指派 到 每 台 服 务 器 的 一 组 DNS 
域 、 子 网 和 地 址 池 的 关联 有 关 ， 并 应 该 与 地 址 空间 和 域 的 总 体 IPAM 规划 一 致 。 

新 的 、 移 动 的 或 删除 子 网 的 路 由 器 配置 ， 以 及 要 将 DHCP 报 文 中 继 到 哪些 DHCP 
服务 器 的 中 继 代理 信息 配置 ， 这些 是 与 IP 管理 密切 联系 的 另 一 项 功能 。 在 市 场 上 几 
PRA IPAM 系统 本 身 就 可 实施 这 个 层次 的 路 由 器 集成 功能 的 。 从 历史 角度 而 言 ，IP 
或 服务 器 团队 (team) 不 同 于 路 由 器 团队 ， 所 以 并 不 鼓励 实施 团队 间 实 现 自动 化 ; 毕 
竟 ， 如 果 一 台 路 由 器 被 证 明 是 错误 配置 的 ， 则 将 汇集 到 路 由 器 团队 ， 由 它们 处 理 。 不 
过 一 些 IPAM 系统 采用 本 地 方式 或 通过 一 个 API 调用 来 支持 这 个 过 程 的 自动 化 ，API 
调用 可 将 一 个 IPAM 系统 子 集 分 配 的 输出 “ 挂 钓 ”到 一 个 路 由 器 配置 工具 的 输入 。 类 
似 地 ， 在 IP 清单 数据 库 或 表格 (spreadsheet) 中 分 配 一 个 子 网 之 后 ， 蛮 力 (BN) 
方法 包括 将 一 条 电子 邮件 发 送 到 路 由 器 团队 ， 仅 此 而 已 。 


14.3.1 地 址 分 配 任 务 


1. 地 址 块 分 配 

从 IPAM 食物 链 的 顶端 开始 ， 考 虑 实施 顶层 块 分 配 的 任务 ， 使 用 我 们 在 第 3 章 讨 
论 的 过 程 。 从 顶 向 下 以 层次 结构 方式 进行 地 址 空间 分 配 ， 地 址 空间 分 配 的 规划 必须 考 
虑 商务 需求 ， 这 是 就 以 从 底 向 上 方式 考虑 每 个 应 用 和 每 个 站 点 的 用 户 团体 这 两 者 的 地 
址 容量 而 言 的 商务 需求 。 最 终 ， 每 个 站 点 将 从 相应 的 分 配 得 到 服务 ， 所 以 容量 规划 应 
该 将 每 个 当前 及 规划 的 未 来 站 点 处 的 地 址 需求 一 起 考虑 。 

如 果 您 没有 时 间或 资源 来 实施 一 次 完整 的 容量 分 析 ， 那 么 可 用 于 企业 组 织 机 构 的 
一 条 指导 规则 是 ， 考 虑 在 每 个 位 置 的 雇员 数 ， 并 将 这 个 数 乘 以 四 。 这 个 数量 提供 了 一 
个 大 体 估 计 ， 并 统计 了 每 个 雇员 的 设备 以 及 基础 设施 设备 〈 如 路 由 器 和 服务 器 ) 。 另 
一 方面 ， 如 果 对 于 您 的 组 织 机 构 规 模 而 言 ， 您 有 充足 的 地 址 空间 ， 那 么 您 就 只 需 均 勾 
地 进行 分 配 即 可 ， 就 和 我 们 在 第 3 章 展 示 说 明 的 那样 做 就 行 。 

一 且 按 照 站 点 对 地 址 容量 进行 了 量化 估计 ， 则 考虑 路 由 拓扑 以 及 如 何 最 佳 地 对 寻 
址 层次 结构 建 模 。 和 IPAM 全 球 公司 采用 的 拓扑 一 样 使 用 一 个 核心 -区 域 - 接 入 的 路 由 
器 拓扑 ， 本 身 就 可 得 到 寻 址 层次 结构 的 一 个 对 应 映射 。 这 样 一 种 拓扑 的 特征 是 ， 一 个 
上 骨干 或 核心 网 络 连 接 区 域 网 络 ， 接 下 来 区 域 网 络 连 接 接 入 网 或 本 地 网 络 。 路 由 器 作为 
拓扑 接口 ， 并 提供 下 行 (下游 ，downstream) 网 络 的 汇聚 。 现 在 将 容量 数据 与 拓扑 一 
起 考虑 ， 识 别 在 每 个 层次 结构 层 处 总 的 〈roll-up) 地 址 空间 。 

让 我 们 以 例子 来 形象 地 说 明 这 个 集成 过 程 。IPAM 全 球 公 司 的 拓扑 特征 是 ， 一 个 
核心 网 络 服务 全 球 大 陆 层次 。 区 域 层 次 将 北美 和 欧洲 大 陆 进 行 细 分 。17000 名 雇员 映 
射 到 大 约 75000 个 I 了 PP 地址 ， 此 时 我 们 的 10.0.0.0/8 网 络 有 超过 1600 万 个 IP 地址 ， 
提供 了 足够 的 容量 ， 更 别提 我 们 的 IPv6 空间 了 。 因 此 ，IPAM 全 球 公司 的 IP 规划 人 
员 决 定 尽 可 能 地 采用 一 种 均匀 分 配 策略 。 最 大 的 配送 中 心 在 诺 里 斯 敦 ， 大 约 有 450 名 
雇员 ， 最 大 的 昆 西 分 支 办 事 处 计划 扩展 到 200 名 雇员 。 因 此 ， 每 个 配送 中 心 将 按照 每 
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种 应 用 ”接收 一 个 /23 分 配 (510 个 可 用 IP 地 址 )， 每 个 分 支 办事 处 将 按照 每 种 应 用 
接收 一 个 /24 (254 个 可 用 地 址 )。 这 为 每 个 站 点 的 增长 提供 了 充足 的 地 址 空间 。 

具有 最 多 办 事 处 的 北美 东部 地 区 ,包含 8 个 配送 中 心 和 9 个 办 事 处 。 依 据 每 种 应 
用 的 相应 的 地 址 空间 量 (rollup) (8 个 /23 +9 个 /24) 约 为 1/19”。 为 了 针对 规模 增 
长 而 提供 充足 的 地 址 容量 ，IPAM 全 球 公司 的 IP 规划 人 员 为 每 个 区 域 中 的 每 种 应 用 分 
配 了 一 个 /18 网 络 地 址 。 在 定义 了 这 些 确定 网 络 地 址 尺寸 的 指导 原则 之 后 ， 可 实施 第 
3 章 中 针对 IPAM 全 球 公司 详细 列 出 的 执行 过 程 。 

另外 可 采用 一 种 更 集约 化 的 策略 ， 仅 为 每 个 站 点 分 配 它 所 需要 的 容量 。 这 种 依据 
需要 的 方法 ， 要 求 比 较 准确 的 决策 以 及 随时 间 跟 踪 每 个 站 点 处 的 IP 地 址 容量 需求 ， 
从 而 可 保障 充足 的 容量 部 署 。 这 种 方法 是 更 加 集约 化 的 方法 ， 但 却 对 地 址 空间 做 出 了 
更 好 的 使 用 ， 这 是 较 大 型 组 织 机 构 或 服务 提供 商 所 要 求 的 。 对 于 地 址 块 分 配 ， 使 用 相 
同 的 过 程 ， 但 数学 计算 和 跟踪 方面 的 需求 变 得 有 点 严格 ,特别 对 于 不 同 地 址 尺寸 分 配 
的 复合 情况 更 是 如 此 。 当 为 了 保留 地 址 空间 而 对 分 配 进行 “适合 尺寸 ”定制 (right- 
sized) 时 ,对 先 验 地 监测 地 址 利用 率 的 需求 就 增加 了 ， 其 中 分 配 中 额外 的 “空闲 
(fudge) 因子 ”被 控制 在 一 个 最 小 水 平 。 

依据 所 选择 的 DHCP 和 DNS 服务 器 部 署 策略 以 及 扩展 的 需要 ， 您 应 该 就 所 需 每 
个 类 型 的 一 个 给 定 尺寸 的 服务 器 数量 和 目标 位 置 ， 规 划 出 服务 器 规模 ( sizing)。 依 据 
这 个 规划 ， 可 实施 服务 器 采购 、 发 货 / 接 收 ， 之 后 是 基础 层次 的 服务 器 配置 。 因 为 在 
过 程 中 的 这 个 点 ， 我 们 还 没有 添加 任何 次 级 分 配 ， 所 以 这 个 基础 DHCP/DNS 配置 将 
包括 基本 的 策略 定义 ， 以 及 针对 附加 地 址 空间 对 应 于 域 规划 的 区 域 。 

对 于 基础 和 后 续 的 地 址 块 分 配 ， 更 新 地 址 规划 是 必要 的 第 一 步 又。 但 仍 有 许多 工 
作 要 做 。 为 了 实施 该 规划 ， 所 分 配 的 地 址 空间 应 该 配置 在 核心 路 由 器 中 ， 以 便 支 持 
路 由 表 的 动态 更 新 。 路 由 器 中 中 继 代理 信息 (目的 是 中 继 到 DHCP 服务 器 (可 能 
是 多 台 ) ) 的 更 新 ， 是 另 一 项 必 备 的 任务 ,但 在 子 网 分 配 任务 过 程 中 这 确 是 得 到 普 
遍 实施 的 一 项 任务 。 附 加 的 后 勤 任务 也 许 是 必要 的 ， 目 的 是 在 网 络 接口 层次 和 DNS 
服务 层次 ， 将 新 分 配 的 地 址 空间 添加 到 服务 器 访问 控制 列表 (ACL) ， 其 中 涉及 
“alow” (R) 选项 (例如 allow-query、allow-recursion 等 ) 和 视图 定义 (MRA 
适 的 话 ) 。 

总 之 ， 地 址 块 分 配 的 任务 包括 如 下 子 任务 。 

(1) PAS BER IP 空间 的 站 点 以 及 每 个 站 点 所 需 的 用 户 或 IP 设备 数量 。 

(2) 确定 路 由 拓扑 ， 这 是 就 地 址 汇聚 需求 而 言 的 。 

(3) 考虑 到 增长 规划 ， 识 别 出 拓 扑 每 个 层次 的 最 小 分 配 ， 并 采用 分 配 策略 〈 例 
如 一 种 均匀 的 或 按 需 的 策略 ) 。 

(4) 识别 地 址 清单 内 的 空闲 地 址 空间 ， 并 分 配 所 选 尺寸 的 一 个 地 址 块 。 


全 ”如 果 我 们 向 这 些 站 点 指派 一 个 不 可 分 的 块 ， 则 我 们 将 极 可 能 需要 总 数 为 雇员 数 四 倍 的 TP 地 址 数 
量 , 但 相反 我 们 会 分 配 多 个 类 似 尺寸 的 地 址 块 。 
© 八 个 /23 = 一 个 /20， 八 个 /24 = 一 个 /21。 一 个 /20 + 一 个 /21 + 一 个 /24 超过 一 个 /19 的 3/4。 
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(5) 依据 需要 ， 设 计 、 采 购 、 安 装 和 配置 DHCP 和 DNS 服务 器 。 

(6) 采用 所 分 配 网 络 和 中 继 代理 信息 ， 更 新 路 由 器 配置 。 

(7) 更 新 DHCP 和 DNS ACL 配置 (如果 合适 的 话 )。 

(8) 管理 整体 的 分 配 过 程 ， 来 跟踪 位 置 和 在 线 的 服务 器 。 下 面 讲解 每 个 位 置 的 
子 网 分 配 。 

2. 子 网 分 配 

在 部 署 基线 地 址 分 配 之 后 ， 针 对 子 网 分 配 的 基础 就 具备 了 ， 子 网 分 配 支 持 用 于 路 
由 器 和 主机 的 个 体 P 地 址 。 商 务 动机 将 会 驱动 子 网 分 配 : 由 于 商务 扩展 需要 P 地 址 
的 新 站 点 ， 新 服务 提供 的 计划 〈 例 如 IP i (IP 上 的 语音 )) 以 及 甚至 合并 或 收购 ， 
每 种 均 可 严重 地 影响 IP 地 址 规划 。 就 将 尺寸 扩大 到 期 望 的 容量 要 求 、 将 容量 总 和 
(rollup) 映射 到 支持 的 路 由 拓扑 以 及 考虑 空闲 地 址 容量 和 分 配 策略 等 方面 ， 可 将 一 种 
类 似 的 过 程 用 于 后 续 的 分 配 。 

子 网 分 配 的 这 项 基本 任务 涉及 确定 一 个 可 用 的 子 网 (该 子 网 将 给 定位 置 和 应 用 
的 地 址 分 配 规划 求 和 考虑 在 内 ) 和 下 地 址 规划 “数据 库 ” 中 的 子 网 指派 。 例 如 ， 如 
果 IPAM 全 球 公司 确定 在 波兰 奥 勒 内 建立 一 个 新 的 配送 中 心 ， 则 IP 规划 人 员 将 访问 
我 们 的 IP 清单 表格 ,来 识别 可 用 的 地 址 空间 。 在 第 3 章 给 出 的 北美 西部 数据 空间 
(10. 32. 128. 0/18) 的 地 址 分 配 分 解 ， 如 下 所 示 。 


北美 西部 数据 10. 32. 128. 0/18 00001010 00100000 10000000 00000000 
旧金山 站 点 10. 32. 128. 0/23 00001010 00100000 10000000 00000000 
丹佛 站 点 10. 32. 130. 0/23 00001010 00100000 10000010 00000000 
温哥华 站 点 10. 32. 132. 0/23 00001010 00100000 10000100 00000000 
菲尼克斯 站 点 10. 32. 134. 0/23 00001010 00100000 10000110 00000000 
卡尔 加 里 站 点 10. 32. 136. 0/24 00001010 00100000 10001000 00000000 
阿尔 伯 克 基 站 点 10. 32. 137. 0/24 00001010 00100000 10001001 00000000 
盐湖 城 站 点 10. 32. 138. 0/24 00001010 00100000 10001010 00000000 
博 尔 德 站 点 10. 32. 139. 0/24 00001010 00100000 10001011 00000000 
埃 德 蒙 顿 站 点 10. 32. 140. 0/24 00001010 00100000 10001100 00000000 
赛 克 拉 门 托 站 点 10. 32. 141. 0/24 00001010 00100000 10001101 00000000 
阿 纳 海 姆 站 点 . 10. 32. 142. 0/24 00001010 00100000 10001110 00000000 
空闲 空间 10. 32. 143. 0/24 00001010 00100000 10001111 00000000 
空闲 空间 10. 32. 144. 0/20 00001010 00100000 10010000 00000000 
空闲 空间 10. 32. 160. 0/19 00001010 00100000 10100000 00000000 


如 我 们 在 第 3 章 讨论 的 ， 通 过 使 用 一 种 最 佳 拟 合 方法 ， 我 们 应 该 考虑 使 用 最 小 的 
空闲 地 址 块 进行 分 配 。 从 这 个 表 中 ， 我 们 看 到 我 们 有 一 个 空闲 的 /24， 但 对 于 我 们 的 
波兰 配送 中 心 (要求 一 个 /23 的 分 配 ) 而 言 ， 这 有 点 太 小 了 。 我 们 继续 查看 下 一 个 最 
小 的 地 址 块 10. 32. 144.0/20, ， 并 从 这 个 块 中 分 配 我 们 的 /23 地 址 分 配 。 因 此 ， 我 们 将 
10. 32. 144. 0/23 分 配给 波兰 配送 中 心 ， 原始 /20 地 址 块 的 剩余 部 分 由 10. 32. 152. 0/ 
21、10. 32. 148. 0/22 和 10. 32. 146. 0/23 组 成 ， 得 到 如 下 所 示 的 内 容 。 
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北美 西部 数据 10. 32. 128. 0/18 00001010 00100000 10000000 00000000 
旧金山 站 点 10. 32. 128. 0/23 00001010 00100000 10000000 00000000 
丹佛 站 点 10. 32. 130. 0/23 00001010 00100000 10000010 00000000 
温哥华 站 点 10. 32. 132. 0/23 00001010 00100000 10000100 00000000 
菲尼克斯 站 点 10. 32. 134. 0/23 00001010 00100000 10000110 00000000 
卡尔 加 里 站 点 10. 32. 136. 0/24 00001010 00100000 10001000 00000000 
阿尔 伯 克 基 站 点 10. 32. 137. 0/24 00001010 00100000 10001001 00000000 
盐湖 城 站 点 10. 32. 138. 0/24 00001010 00100000 10001010 00000000 
博 尔 德 站 点 10. 32. 139. 0/24 00001010 00100000 10001011 00000000 
埃 德 蒙 顿 站 点 10. 32. 140. 0/24 00001010 00100000 10001100 00000000 
赛 克拉 门 托 站 点 10. 32. 141. 0/24 00001010 00100000 10001101 00000000 
阿 纳 海 姆 站 点 10. 32. 142. 0/24 00001010 00100000 10001110 00000000 
波兰 站 点 10. 32. 144. 0/23 00001010 00100000 10010000 00000000 
空闲 空间 10. 32. 143. 0/24 00001010 00100000 10001111 00000000 
空闲 空间 10. 32. 146. 0/23 00001010 00100000 10010010 00000000 
空闲 空间 10. 32. 148. 0/22 00001010 00100000 10010100 00000000 
空闲 空间 10. 32. 152. 0/21 00001010 00100000 10011000 00000000 
空闲 空间 10. 32. 160. 0/19 00001010 00100000 10100000 00000000 


注意 我 们 的 空闲 地 址 块 10. 32. 143.0/24 现在 被 指派 过 的 地 址 块 围 住 或 包围 。 对 
一 个 /24 或 较 小 地 址 块 的 未 来 需求 可 使 用 这 个 空间 ， 但 其 他 情况 下 它 是 不 能 使 用 的 。 
应 用 一 种 最 佳 拟 合 方法 的 做 法 ,寻找 这 些 “ 孤 立 的 ”地 址 块 ， 但 如 我 们 看 到 的 情况 ， 
它们 仍然 可 能 会 被 放弃 使 用 ( 即 太 小 而 不 能 使 用 )。 

除了 识别 并 记录 所 分 配 的 子 网 外 ， 子 网 分 配 过 程 要 求 在 合适 的 路 由 器 接口 上 配置 
提供 子 网 地 址 。 在 子 网 上 的 一 些 单个 IP 地 址 ， 需 要 被 指派 到 基础 设施 设备 ， 如 路 由 
器 和 服务 器 。 也 要 求 定 义 和 更 新 DHO 服务 器 配置 ， 这 是 考虑 到 地 址 池 (可 能 有 多 
个 ) 和 相应 的 DHCP 选项 和 /或 客户 端 类 参数 ， 这 些 信息 是 在 所 分 配子 网 上 要 求 DH- 
CP (配置 ) 的 设备 所 需要 的 。 

现在 和 未 来 在 子 网 上 要 指派 地 址 的 设备 ， 将 可 能 要 求 DNS 中 的 名 字 解 析 信 息 。 
这 个 信息 以 最 低 限度 可 施用 到 域名 字 到 IP 地 址 查找 的 一 个 转发 域 以 及 IP 地 址 到 名 字 
查找 的 一 个 反 向 域 。 这 要 求 采用 域 更 新 (例如 in-addr arpa 和 ip6. arpa dk (可 能 有 多 
个 )) 和 和 名字 服务 器 及 静态 指派 地 址 的 资源 记录 更 新 ， 来 定义 和 更 新 DNS 服务 器 配 
置 。 当 然 ， 在 相应 DNS 服务 器 上 这 些 域 必须 存在 或 必须 提供 和 配置 。 

取决 于 您 的 域 拓 扑 ， 将 一 个 新 的 子 网 添加 到 一 个 位 置 的 做 法 ， 可 能 利用 一 个 现 有 
的 域 ， 但 却 不 必 采 取 这 种 方式 。 一 个 新 域 可 能 需要 作为 合适 DNS 服务 器 上 的 一 个 子 
域 或 一 个 新 的 区 域 加 以 定义 和 配置 。 采 用 相同 方式 ， 也 需要 添加 对 应 于 子 网 地 址 的 反 
向 域 ， 除 非 一 个 较 高 层 in-addr. arpa 或 ip6. arpa 将 驻 留 (host) 相应 的 PTR 资源 记录 
时 才 不 需要 这 么 做 。 

子 网 分 配 过 程 形象 地 说 明了 地 址 分 配 、 指 派 以 及 DHCP 和 DNS 服务 器 配置 任务 
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间 严 格 的 相互 关系 。 取 决 于 您 的 商务 过 程 ， 可 在 地 址 指派 和 DHCP/DNS 配置 之 前 ， 
对 子 网 进行 分 配 或 预 留 。 不 过 ， 典 型 情况 下 ， 要 求实 施 如 下 这 个 完整 的 步骤 集 ， 将 一 
个 子 网 投入 运行 (生产 ) 。 

(1) 识别 需要 子 网 的 拓扑 范围 内 的 空闲 地 址 空间 。 

(2) 从 合适 的 地 址 空间 中 分 配 所 需 尺 寸 的 一 个 子 网 ， 并 在 IP 地 址 规划 中 记录 这 
个 分 配 。 

(3) 更 新 与 所 分 配 网 络 有 关 的 路 由 器 配置 。 

(4) 将 针对 路 由 器 、 服 务 器 或 其 他 子 网 基础 设施 设备 而 分 配 的 地 址 ， 人 工地 指 
派 和 配备 到 位 。 

(5) 如 果 有 必要 在 子 网 上 服务 动态 主机 ， 则 要 设计 和 配置 DHCP 地 址 池 。 这 可 
能 要 求 基于 规划 使 用 地 址 池 (可 能 是 多 个 ) 的 设备 要 求 ， 将 选项 、 命 令 (directives) 
和 客户 端 类 进行 关联 。 

(6) 定义 为 子 网 上 服务 主机 所 需 的 新 的 DNS 域 ， 为 新 的 或 现 有 域内 的 基础 设施 
或 设备 而 定义 资源 记录 ， 配 置 合适 的 DNS 服务 器 ” 。 

(7) 通过 确认 子 网 的 提供 和 可 达 性 以 及 验证 相应 的 DHCP 和 DNS 配置 ， 完 成 分 
配 过 程 。 

3. IP 地址 指派 

将 全 地 址 指派 、 去 指派 和 重新 指派 到 个 体 主机 ， 通常 是 多 数组 织 机 构 中 最 频繁 
的 IP 管理 活动 。 典 型 情况 下 ， 这 与 设备 (包括 路 由 器 、 服 务 器 、 打 印 机 等 ) 的 部 署 、 
重新 部 署 或 退役 相关 。 就 地 址 指派 而 言 ， 必 须 查 阅 IP 地 址 清单 数据 库 ， 来 识别 确定 
一 个 可 用 的 IP 地 址 。 如 果 可 能 的 话 ， 仅 为 了 验证 清单 的 准确 性 ，ping 要 被 指派 的 IP 
地 址 ， 这 种 做 法 将 是 有 用 的 ， 但 我 们 将 讨论 总 的 清单 确保 过 程 ， 以 之 作为 一 项 独立 的 
任务 。 之 后 ， 在 清单 数据 库 中 ， 要 被 指派 的 该 P 地 址 应 该 表示 为 指派 到 给 定 的 设备 。 

实际 的 物理 IP 地 址 指派 可 采用 如 下 方式 之 一 来 完成 ， 即 人 工地 (静态 地 ) 配置 
设备 、 自 动 配置 或 使 用 DHCP (在 这 种 情形 中 ， 我们 将 假定 使 用 人 工 的 DHCP, 来 将 
所 指 IP 地 址 指派 到 相应 主机 )。 在 静态 指派 情形 中 ， 被 指派 的 地 址 必须 直接 配置 在 设 
备 上 ， 所 以 除非 瑟 地 址 指派 人 员 也 负责 物理 指派 工作 ， 否 则 这 个 过 程 将 涉及 向 设备 
所 有 者 发 送 的 一 封 电子 邮件 或 打 个 电话 ， 其 中 携带 要 输入 的 指派 P 地 址 信息 。 对 于 
自动 配置 ， 这 个 自 底 向 上 的 指派 过 程 是 一 个 检测 问题 ， 而 不 是 自 顶 向 下 的 指派 过 程 。 
当 使 用 人 工 DHCP 时 , 为 了 将 设备 的 硬件 地 址 映射 到 所 指派 的 IP 地 址 ， 合 适 DHCP 
服务 器 (可 能 是 多 个 ) 配置 文件 中 的 一 个 表 项 将 是 必要 的 。 

多 数 带 有 IP 地 址 的 设备 将 要 求 相应 的 DNS 资源 记录 ,来 支持 依据 名 字 的 可 达 
性 。 使 用 地 址 指派 的 DHCP 方法 ，DHCP 服务 器 可 配置 成 ， 在 指派 IP 地 址 时 ， 更 新 一 
AE DNS 服务 器 。 这 种 更 新 将 影响 用 于 域名 到 IP 地 址 (A/AAAA) 查找 的 转发 域 以 


O 在 一 些 网 络 中 ， 要 求 对 DHCP 地 址 的 资源 地 址 进行 预先 配置 (pre-seeding) ， 目 的 是 在 没有 实施 动 
态 更 新 的 情况 下 ， 人 允许 这 些 地 址 的 用 户 出 现 于 DNS 之 中 (例如 为 了 便利 实施 VPN 连接 ， 它 要 求 
存在 一 条 PTR 记录 ) 。 
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及 用 于 反 向 (PTR) 查找 的 反 向 域 。 如 果 人 工地 指派 地 址 ， 将 要 求 一 项 类 似 的 DNS 
更 新 任务 。 以 这 种 新 的 主机 信息 更 新 DNS， 可 能 需要 在 服务 器 上 编辑 或 更 新 相应 的 区 
域 文件 或 发 送 动态 的 更 新 。 

至 少 在 一 个 企业 网 络 上 ， 您 不 希望 一 台 自 动 配置 的 设备 自己 来 更 新 DNS， 虽 然 这 
对 于 一 个 团体 或 ad hoe 网 络 而 言 可 能 是 合适 的 。 识 别 存在 一 台新 近 自 动 配置 的 设备 ， 
从 而 人 工地 更 新 DNS， 这 种 做 法 本 身 就 是 一 项 挑战 。 如 果 这 样 的 设备 要 求 DNS 中 的 
解析 信息 ， 则 为 了 识别 IPv6 地 址 ， 使 用 一 台 路 由 器 的 日 志 或 子 网 侦 听 (snooping) T 
具 就 是 必要 的 。 

总 之 ， 卫 地 址 指派 任务 包括 如 下 子 任务 。 

(1) 确定 设备 如 何 得 到 它 的 IP 地址 : 通过 人 工 配 置 、 自 动 配置 或 通过 DHCP, 

1) 如 果 是 动态 DHCP 或 自动 化 的 DHCP， 则 确定 子 网 上 的 当前 地 址 池 (如 果 有 
地 址 池 的 话 ) 是 否 有 容量 来 支持 这 台 设 备 ; 如 果 有 的 话 ， 这 项 任务 完成 ; 如 果 没 有 ， 
则 在 DHCP 服务 器 上 配置 相应 DHCP 类 型 的 一 个 地 址 池 和 必要 的 选项 参数 。 

2) 如 果 是 人 工 DHCP， 则 在 设备 所 处 的 子 网 内 ， 识 别 一 个 空闲 的 IP 地址 ， 并 将 
该 地 址 指派 给 该 设备 ， 方 法 是 配置 DHCP 服务 器 来 为 设备 的 MAC 地 址 保留 或 指派 一 
个 人 工 的 DHCP 地 址 。 

3) 如 果 是 在 设备 上 人 工地 进行 配置 ， 则 在 设备 所 处 子 网 内 识别 一 个 空闲 的 IP 地 
址 ， 并 将 该 地 址 指派 给 该 设备 。 在 设备 上 人 工地 配置 好 所 指派 的 静态 IP 地 址 。 

4) 在 所 有 情形 中 ， 以 指派 的 地 址 更 新 IP 地 址 规划 ， 不管 是 一 个 表格 还 是 其 他 
IPAM 工具 均 可 。 

(2) 确定 DNS 资源 记录 是 否 需 要 人 工地 创建 和 更 新 。 一 般 来 说 ， 对 于 静态 指派 
的 地 址 ， 情 况 就 是 这 样 的 。 对 于 DHCP 指派 的 设备 而 言 ，DHCP 服务 器 可 被 配置 成 实 
施 动态 更 新 ， 虽 然 在 一 些 情形 中 ， 动 态 更 新 是 不 可 行 的 或 策略 所 不 允许 的 ， 这 时 就 要 
求 相应 资源 记录 的 人 工 更 新 。 

(3) 验证 地 址 指派 过 程 的 完成 ， 方 法 是 成 功 地 ping 该 地 址 ， 并 验证 它 在 DNS 中 
的 资源 记录 。 对 于 通过 一 个 地 址 池 而 被 指派 一 个 地 址 的 设备 而 言 ， 可 能 不 需要 进行 验 
证 ; 但 是 ， 如 果 需 要 验证 的 话 ， 则 提前 就 可 能 不 知道 地 址 。 在 DHCP 租 期 文件 中 找到 
设备 的 MAC 地 址 ， 在 这 种 情形 中 ， 接 下 来 要 做 的 是 ，ping 相应 的 地 址 ， 以 此 来 确认 
它 的 指派 。 


14.3.2 地 址 删除 任务 


如 我 们 所 展示 说 明 的 ， 地 址 分 配 是 一 个 自 顶 向 下 的 过 程 ， 其 中 首先 是 层次 结构 式 
地 址 块 的 分 配 ， 从 中 可 分 配子 网 ， 从 子 网 可 指派 卫 地址。 地 址 空间 的 删除 ， 则 要 求 
相反 的 操作 ， 有 必要 是 自 底 向 上 的 。 在 下 面 的 地 址 块 、 子 网 和 卫 、 地 址 被 删除 之 前 ， 
就 删除 一 个 地 址 块 ， 将 使 这 些 下 面 的 元 素 处 于 困境 ， 所 以 除非 您 希望 出 现 群 众 暴乱 
(mass chaos) ， 否 则 就 要 确保 采用 一 个 比较 可 控 的 过 程 。 

(1) 删除 地 址 。 删 除 一 个 P 地 址 是 相对 直接 的 : 删除 或 释放 P 清单 中 的 IP 
地 址 ， 如 果 合 适 的 话 就 从 DHCP 中 请 求 M-DHCP 项 ， 释 放 地 址 租赁 ， 并 清除 关联 的 
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DNS 资源 记录 。 但 是 ， 必 须 谨慎 从 事 ， 确保 在 将 该 地 址 指派 给 另 一 台 设 备 之 前 ， 地 址 
已 经 由 原 设备 放弃 使 用 ， 且 DHCP 和 DNS 更 新 已 经 完成 。 例 如 ， 简 单 地 在 一 台 DHCP 
服务 器 上 删除 一 个 租赁 ， 并 不 会 强制 持 有 那个 租赁 的 客户 端 放弃 使 用 那个 租赁 。 设 计 
了 DHCP Force-Renew (强制 刷新 ) 消息 ,强迫 一 台 DHCP 客户 端 进 入 刷新 状态 ， 这 
使 一 台 服 务 器 可 能 对 客户 端 刷 新 租赁 的 尝试 回答 NAK， 由 此 释放 该 地 址 。 但 是 ， 强 
制 刷 新 没有 得 到 广泛 实现 。 

将 地 址 指示 为 处 在 “删除 进行 中 ”的 一 个 状态 或 某 种 类 似 法 ， 将 提醒 其 他 管理 
员 ， 直 到 接收 到 地 址 可 用 性 的 确认 之 前 ， 不 要 将 那个 地 址 指派 给 另 一 台 设 备 。 这 个 确 
认 过 程 包括 : ping 那个 地 址 (也许 不 断 地 持续 数 天 时 间 )， 并 确认 在 DNS 和 DHCP 服 
务 器 中 删除 了 其 关联 的 数据 。 

(2) 删除 子 网 。 当 关闭 一 个 站 点 或 合并 地 址 空间 时 ， 可 能 要 求 删除 一 个 子 网 。 
具有 要 被 删除 子 网 上 IP 地 址 的 设备 ， 应 该 被 移 除 或 退役 ， 从 而 使 该 子 网 可 用 于 地 址 
指派 (除非 ， 可 能 是 服务 子 网 的 路 由 器 情况 )。 在 验证 所 有 IP 地 址 都 是 空闲 之 后 ， 就 
将 该 子 网 回收 到 空闲 地 址 空间 ， 用 于 未 来 分 配 。 

在 释放 一 个 子 网 时 ， 可 能 的 情况 是 ， 将 被 释放 的 空间 与 一 个 连续 的 空闲 地 址 块 合 
并 ， 得 到 一 个 较 大 的 空闲 地 址 块 。 沿 用 我 们 在 上 面子 网 分 配 小 节 中 的 IPAM ERAR 
北美 西部 数据 地 址 块 的 例子 ， 如 果 IPAM 全 球 公司 决定 关闭 阿 纳 海 姆 分 支 办 事 处 ， 则 
现在 就 认为 它 的 地 址 空间 10. 32. 142.0/24 是 空闲 的 ， 它 与 10. 32. 143.0/24 地 址 块 是 
连续 的 。 我 们 可 将 这 两 个 地 址 块 合并 成 单一 空闲 地 址 块 10. 32. 142. 0/23。 这 样 做 的 
话 ， 比 较 清 楚 的 是 ， 这 个 /23 地 址 就 可 指派 给 一 个 未 来 的 配送 中 心 (比如 )。 

(3) 删除 地 址 块 。 地 址 块 删除 可 能 源 于 退出 一 个 主要 商务 市 场 ， 或 站 点 合并 ， 
等 等 ， 还 有 其 他 原因 。 一 般 而 言 ， 在 宏观 层次 的 地 址 块 可 被 释放 ， 用 于 未 来 指派 之 
前 ， 所 有 下 游 IP 地 址 、 子 网 、 地 址 池 、 资 源 记录 和 域 都 应 该 首先 退役 。 因 此 ， 在 目 
标 地 址 块 内 个 体 删除 IP 地址 任务 和 子 网 删除 任务 完成 之 后 ,该 地 址 块 本 身 就 可 释放 
了 。 对 于 中 等 到 大 型 分 配 的 任务 而 言 ， 可 能 要 求 项 目 规划 资源 ， 以 便 验证 层次 结构 上 
的 整体 删除 。 和 在 删除 子 网 任务 中 一 样 ， 被 释放 的 地 址 块 空间 可 与 连续 的 空闲 空间 合 
并 。 就 像 地 址 块 分 配 一 样 ， 就 地 址 池 、 域 、ACL 和 资源 记录 方面 ， 应 该 考虑 与 DHCP 
和 DNS ACL 配置 有 关 的 附加 后 勤 任务 。 


14.3.3 ”地址 重新 编号 或 移动 任务 


对 地 址 块 、 子 网 或 个 体 地 址 的 移动 或 重新 编号 ， 这 种 做 法 将 分 配 过 程 与 删除 过 程 
组 合 起 来 。 如 上 所 述 ， 分 配 过 程 应 该 是 从 一 种 自 顶 向 下 的 角度 实施 的 ， 是 从 低层 子 网 
和 下 地 址 将 被 移 到 的 空间 进行 分 配 的 。 随 着 地 址 被 移 到 目标 的 分 配 空间 ， 删 除 过 程 
从 自 顶 向 下 释放 地 址 空间 的 。 本 质 上 而 言 ， 必 须 分 配 要 被 移出 的 地 址 范围 的 大 小 ， 以 
便 容纳 被 移出 的 地 址 ， 临 时 地 将 与 这 个 设备 集合 相关 联 的 地 址 空间 翻 倍 (可 能 是 一 
种 做 法 )。 随 着 地 址 被 移出 ， 前 一 个 地 址 空间 就 可 被 释放 ， 将 地 址 分 配 返 回 到 以 前 的 
层次 。 

(1) IP 地 址 移动 。 移 动 一 个 IP 地址 的 做 法 ,可 被 看 做 在 目的 地 子 网 上 指派 一 个 
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地 址 ， 并 在 当前 子 网 上 删除 该 IP 地 址 的 组 合 做 法 。 取 决 于 地 址 指派 的 方法 和 移动 类 
型 ， 可 使 用 不 同 的 战术 做 法 。 移 动 的 类 型 与 一 台 设 备 物理 移动 到 一 个 不 同 的 子 网 
(物理 移动 ) 及 在 相同 子 网 或 一 个 不 同 子 网 上 重新 指派 卫 地 址 (人 逻辑 移动 ) 有 关 。 
典型 情况 下 ， 一 台 非 移动 IP 设备 的 物理 移动 将 涉及 每 台 IP 设备 的 一 次 “重启 ”， 这 
要 对 地 址 指派 过 程 施加 更 多 的 控制 。 

(2) 物理 移动 。 物 理 移动 ， 意 味 着 断 电 、 移 动 ， 之 后 在 目的 地 位 置 上 对 设备 上 
电 。 对 于 动态 的 DHCP 和 自动 化 的 DHCP 指派 设备 而 言 ， 如 果 移 动 的 是 整个 地 址 池 ， 
则 应 该 在 一 台 [相同 或 不 同 的 ] DHCP 服务 器 上 配置 目的 地 地 址 池 。 确 保 服务 目的 地 
子 网 的 路 由 器 (可 能 是 多 台 ) 被 配置 成 ， 可 将 DHCP 报 文中 继 到 配 有 新 地 址 池 的 DH- 
CP 服务 器 。 当 这 些 设备 上 电 时 ， 它 们 将 会 尝试 刷新 它们 在 旧 子 网 上 拥有 的 最 近 租赁 。 
确保 任何 自动 化 的 DACP 设备 ,在 上 电 时 发 出 DHCPREQUEST， 而 不 仅仅 继续 使 用 它 
们 的 旧 IP 租赁 ;如 果 这 些 设备 假定 旧 [无 穷 期 限 ] 租赁 是 有 效 的 ， 则 将 要 求人 工 干 
预 ， 重 置 该 设备 的 地 址 。 和 否则 ，DHCP 服务 器 将 NAK (否定 应 答 ) 每 个 客户 端的 DH- 
CPREQUEST 尝试 。 客 户 端 们 将 返回 到 Init-Reboot (初始 化 重启 ) 状态 ， 并 发 出 一 条 
DHCPDISCOVER 报 文 ， 来 得 到 一 个 新 的 地 址 租赁 。DHCP 服务 器 以 新 的 目的 地 址 池内 
一 个 新 的 地 址 租赁 作为 应 答 。 对 于 DHCPv6 客户 端 ， 可 使 用 一 个 类 似 的 过 程 。 一 旦 所 
有 设备 都 以 物理 方式 移动 ， 则 服务 旧 子 网 的 地 址 池 可 做 退役 处 理 。 

一 台 M-DHCP 设备 的 物理 移动 ， 包 括 在 服务 新 子 网 的 DHCP 服务 器 中 创建 M- 
DHCP 表 项 ， 并 在 以 前 的 DHCP 服务 器 上 删除 相应 表 项 。 如 果 使 用 的 是 同一 台 DHCP 
服务 器 ， 则 简单 地 编辑 与 设备 的 MAC 地 址 关联 的 人 P 地 址 。 当 设备 在 新 子 网 上 上 电 
时 ， 它 应 该 遵循 动态 DHCP 和 自动 化 DHCP 类 似 的 一 个 过 程 ， 进 行 一 次 DHCPRE- 
QUEST 尝试 ， 如 果 DHCP 服务 器 应 答 为 NAK， 则 接 下 来 是 (返回 到 ) 发 出 一 条 DH- 
CPDISCOVER, 使 用 标准 的 DHCP 过 程 进 行 地 址 重新 指派 。 

移动 自动 配置 其 IPv6 地 址 的 一 台 设 备 的 做 法 ， 将 会 使 设备 通过 路 由 器 发 现 ， 检 
测 到 它 的 新 子 网 ， 还 有 对 应 的 子 网 策略 (包括 DHCPv6 服务 的 可 用 性 ) 。 如 果 进 行 地 
址 的 自动 配置 ， 那 么 该 设备 就 进行 自动 配置 ， 之 后 通过 重复 地 址 检测 来 验证 地 址 的 唯 
一 性 。 如 果 使 用 DHCPv6 ， 则 接 下 来 是 正常 的 DHCPv6 过 程 ， 来 得 到 一 个 IPv6 地 址 及 
关联 的 参数 。 在 一 些 情形 中 ( 当 在 路 由 器 通告 中 设置 0 比特 时 ) ， 可 同时 使 用 自动 配 
置 和 DHCPv6。 

可 由 DHCP 服务 器 来 实施 DNS 资源 记录 更 新 ,或 如 果 这 些 DHCP 案例 是 被 禁止 
动态 更 新 的 话 ， 则 人 工 更 新 。 

人 工 配 置 设备 的 物理 移动 的 做 法 ， 要求 从 IP 清单 中 指派 一 个 IP 地址， 并 当 该 设 
备 在 新 子 网 上 上 电 时 ， 将 新 的 瑟 地 址 人 工 配 置 在 该 设备 中 。 在 此 时 ， 旧 地 址 就 可 释 
放 了 ， 虽 然 在 验证 地 址 可 用 性 之 前 为 防止 相应 地 址 的 未 成 功 重 新 指派 ， 一 个 中 间 
“删除 进行 中 ”状态 可 能 是 有 用 的 。 为 了 反映 设备 的 新 IP 地 址 ， 也 应 该 更 新 DNS 资 
源 记 录 。 

在 所 有 这 些 情 形 中 ， 应 该 使 用 IP 清单 来 识别 目的 地 子 网 或 地 址 池上 的 空闲 地 址 
(可 能 是 多 个 ) ， 并 当 确 认 设 备 移动 之 后 ， 在 旧 子 网 上 释放 地 址 和 相应 的 DNS 资源 
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记录 。 

(3) 逻辑 移动 。 逻 辑 移动 有 点 挑战 性 ， 原 因 是 逻辑 移动 不 必 涉 及 一 台 设 备 的 重 
新 初始 化 。 对 于 DHCP 设备 ， 应 该 在 【相同 或 不 同 ] 的 DACP 服务 器 上 配置 包含 目的 
地 耳 地 址 的 一 个 地 址 池 。 在 移动 日 期 之 前 ， 地 址 池 或 设备 的 租赁 时 间 应 该 被 逐步 减 
少 。 例 如 ， 如 果 一 个 正常 租赁 时 间 是 1 个 星期 ， 那 么 在 要 移动 的 那个 星期 ， 它 应 该 小 
到 1 天 (比如)， 在 移动 的 那天 ， 应 该 小 到 2-6 小 时 。 恰 在 您 将 租赁 时 间 更 改 为 天 之 
前 ， 一 台 设 备 可 能 刷新 得 到 一 个 星期 那么 长 的 地 址 租赁 ， 所 以 直到 那个 星期 一 半 过 去 
之 前 (或 依据 您 的 Tl 时 间 选 项 设置 ) ， 它 不 会 尝试 进行 租赁 刷新 。 因 此 如 果 您 的 正 
常 租 赁 时 间 是 2 个 星期 ， 则 在 计划 的 地 址 移动 之 前 ， 逐 步 将 2 个 星期 的 租赁 时 间 减 
少 。 在 移动 的 那天 ， 如 果 所 有 设备 都 要 在 几乎 相同 时 间 移动 ， 这 样 做 比较 重要 的 话 ， 
那么 将 租赁 时 间 设 为 一 个 最 小 "时 间 。 如 果 移 动 一 致 性 不 是 至 关 重 要 的 话 ， 那 么 保持 
在 数 小 时 量 级 上 的 租赁 时 间 ， 应 该 可 得 到 在 数 小 时 内 的 一 次 完全 移动 任务 。 

在 这 个 场景 中 ， 建 议 ， 如 果 可 以 采用 地 址 改变 比较 紧密 地 映射 DNS 信息 更 新 的 
话 ， 则 由 DHCP 服务 器 实施 DNS 更 新 。A-DHCP 设备 的 人 工 干预 会 是 必要 的 ， 除 非 它 
们 确实 遵循 租赁 刷新 策略 ， 而 不 拥有 无 穷 的 租赁 时 间 。 

人 工 编 址 设备 的 移动 ， 遵 循 物理 移动 中 的 相同 过 程 。 从 IP 清单 中 指派 一 个 目的 
地 IP 地址， 并 将 新 的 IP 地址 配置 在 设备 上 。 一 旦 确认 ， 就 可 释放 旧地 址 ， 也 应 该 更 
新 DNS 资源 记录 ， 以 便 反映 设备 的 新 IP 地 址 。 

一 台 自 动 配置 设备 的 逻辑 移动 ， 可 以 如 下 方法 实施 ， 通 过 在 服务 相应 子 网 的 路 由 
器 上 ， 在 邻居 (路由器) 发 现 过 程 中 ,将 其 通告 的 首选 地 址 寿命 和 有 效 地 址 寿命 值 
逐步 降低 。 缩 短 地 址 前 缀 (设备 要 从 该 前 缀 移 走 ) 的 这 些 定时 器 值 ， 同 时 引入 带 有 
一 个 “正常 ”地 址 寿命 的 新 前 级 ， 这 种 做 法 将 使 自动 配置 的 设备 自动 地 实施 这 种 逻 
辑 移动 。 一 旦 所 有 设备 都 移动 了 ， 且 前 一 前 缀 的 有 效 寿命 超期 ， 则 可 清除 该 前 级 。 

(4) 子 网 移动 。 移 动 一 个 子 网 ， 可 能 涉及 两 个 结果 中 的 一 个 结果 : 将 子 网 及 其 
被 指派 的 IP 地 址 都 移动 到 另 一 个 路 由 器 接口 ， 保 留 当 前 地 址 指派 ; 或 移动 到 另 一 个 
路 由 器 接口 ， 但 要 求 新 的 子 网 地 址 。 我 们 将 子 网 重新 编 址 任务 与 后 一 种 情况 放 在 一 
起 ， 原 因 是 子 网 重新 编 址 也 会 导致 一 个 新 的 子 网 地 址 ， 虽 然 并 不 必 将 该 子 网 移 到 另 一 
个 路 由 器 接口 上 。 前 一 种 情况 要 求 考 虑 在 层次 结构 内 地 址 空间 回收 (rollup, 汇总)， 
但 一 般 包括 修改 并 验证 路 由 器 地 址 提供 的 与 规划 的 要 一 致 ， 同 时 在 必要 情况 下 ， 更 新 
路 由 表 和 DHCP 中 继 地 址 。 

由 于 一 次 物理 移动 或 较 高 层次 的 重新 编 址 导致 的 一 个 子 网 移动 ， 会 要 求 更 多 一 些 
的 工作 。 一 次 物理 移动 (其 中 设备 要 被 物理 地 移动 (例如 当 一 个 办 事 处 搬迁 时 ) ) 本 
质 上 是 中 断 性 的 。 可 在 目的 路 由 器 接口 上 分 配 和 准备 目的 地 子 网 ， 还 有 上 面 描 述 的 其 
他 任务 ， 它 们 与 保留 静态 地 址 以 及 更 新 DHCP 和 DNS 配置 有 关 。 当 每 台 移 动 的 设备 
插入 时 ， 它 将 需要 使 用 新 的 地 址 进行 人 工 重 新 编 址 ， 和 /或 得 到 与 子 网 有 关 地 址 池上 





O ”取决 于 网 络 流量 和 服务 器 性 能 考虑 因素 ， 最 小 时 间 可 在 数 分 钟 或 数 小 时 的 量 级 上 。 租 赁 时 间 越 
短 ， 则 将 发 送 的 DHCP 报 文 就 越 多 ， 但 DHCP 客户 端 移动 可 被 编排 的 时 间 就 越 准 。 
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的 一 个 DHCP 租赁 ， 过 程 见 上 面 对 IP 地 址 移动 所 描述 的 情形 。 类 似 地 ， 逻 辑 地 址 移 
动 或 重新 编 址 ， 遵 循 每 台 设 备 逻 辑 IP 地 址 移动 的 过 程 。 

在 所 有 设备 都 从 旧 子 网 移 到 新 子 网 后 ， 旧 子 网 就 可 遵循 删除 子 网 过 程 进行 释放 。 

(5) 地 址 块 移动 。 将 带 有 低层 子 网 和 IP 地 址 的 宏 层次 地 址 块 ， 要 求 仔细 的 项 目 
规划 和 实施 。 目 的 地 地 址 块 的 分 配 应 该 遵循 针对 地 址 块 分 配 列 出 的 那些 任务 。 假 定 一 
次 移动 仅 是 重新 编 址 ， 应 该 分 配 一 个 类 似 尺 寸 的 目的 地 址 块 。 如 果 移 动 是 由 地 址 合并 
或 扩展 导致 的 ， 或 可 能 产生 这 样 的 机 会 ， 则 目的 地 址 块 分 配 的 大 小 应 该 依据 低层 容量 
需求 和 拓扑 架构 ， 见 地 址 块 分 配 一 节 讨 论 的 情形 。 一 旦 完成 分 配 ， 就 可 开始 亚 层次 的 
分 配 和 子 网 分 配 。 之 后 UP 地址 和 地 址 池 的 移动 ， 遵 循 针 对 IP 地 址 移动 所 描述 的 过 
程 。 随 着 IP 地 址 和 子 网 完全 从 其 旧 指 派 中 移出 ， 且 移动 被 确认 、 其 对 应 的 资源 记录 
被 清除 时 ， 这 些 地 址 和 子 网 就 可 退役 或 释放 。 


14.3.4 地 址 块 / 子 网 分 割 


将 一 个 地 址 块 分 割 ， 涉 及 从 一 个 给 定 源 地 址 块 中 产生 两 个 或 多 个 较 小 尺寸 的 地 址 
块 。 为 了 释放 地 址 空间 或 甚至 作为 地 址 空间 亚 层 次 分 配 的 一 种 方式 ， 分 割 就 是 必要 
的 。 在 前 一 种 情形 中 ， 在 一 个 子 网 内 的 地 址 可 被 合并 到 该 子 网 的 前 一 半 ， 并 释放 在 后 
一 半 中 的 指派 。 在 这 种 场景 中 ， 将 地 址 块 分 割 的 做 法 ， 就 得 到 一 个 被 占用 的 子 网 
(前 一 半 ) 和 一 个 空闲 的 子 网 〈 后 一 半 ) 。 一 些 组 织 机 构 历 史上 分 配 了 区 域 性 的 地 址 
块 ， 那 么 可 将 这 些 地 址 块 分 制 ， 在 地 址 层次 结构 中 指派 较 低 层次 的 亚 地 址 块 和 子 网 。 
在 某 种 意义 上 而 言 ， 这 是 地 址 块 分 配 的 一 种 形式 。 

注意 ,一 般 而 言 ， 将 一 个 地 址 块 分 成 两 个 地 址 块 ， 即 当 有 一 个 网 络 和 一 个 广播 地 
址 的 以 前 单一 网 络 现在 变 为 两 个 网 络 ， 每 个 新 网 络 有 一 个 网 络 和 一 个 广播 地 址 时 ， 将 
有 可 能 使 两 个 以 前 可 用 的 地 址 成 为 不 可 用 的 。 例 如 ，192. 168. 24. 0/24 网 络 有 网 络 地 
hE 192. 168. 24.0 和 广播 地 址 192. 168.24.255。 将 这 个 地 址 块 分 成 两 个 /25 网 络 
192. 168. 24. 0/25 和 192. 168. 24. 128/25, ， 则 使 以 前 可 用 的 地 址 192. 168. 24. 127 作为 
新 的 地 一 个 网 络 的 广播 地 址 、192. 168. 24. 128 作为 第 二 个 网 络 的 网 络 地 址 。 

当 分 割地 址 块 时 ， 要 注意 DNS 反 向 区 域 的 影响 。 如 果 所 得 到 的 两 个 子 网 的 DNS 
权威 机 构 仍 然 在 一 组 管理 员 控制 之 下 ， 则 原始 的 in-addr. arpa 或 ip6. arpa 区 域 也 许 不 
需要 改动 。 但 是 ， 如 果 一 个 得 到 的 分 割地 址 块 或 子 网 ， 其 设备 在 由 一 个 独立 的 委派 权 
威 控制 下 的 DNS 中 得 到 管理 ， 那 么 原始 的 反 向 区 域 也 要 求 分 割 。 这 涉及 产生 对 应 于 
所 得 到 分 割 子 网 的 两 个 反 向 区 域 ， 并 通知 负 有 职责 的 分 割 子 网 的 父 反 向 区 域 管理 员 ， 
使 之 正确 地 将 反 向 区 域 树 下 的 权限 委派 给 负责 权威 信息 的 正确 的 DNS 服务 器 集 。 

将 一 个 地 址 块 分 割 的 做 法 ,不 必 仅 约束 为 分 割 成 两 半 (比如 一 个 /24 Ba A 
两 个 /25 网 络 ) 。 一 个 分 割 可 被 用 作 从 一 个 /20 网 络 中 切 出 一 个 /23 网 络 ， 如 在 子 网 分 
配 一 节 中 将 地 址 空间 指派 给 我 们 新 的 波 特 兰 配送 中 心 时 ， 我 们 所 做 的 那样 。 这 个 分 割 
得 到 一 个 /23 网 络 〈 我 们 将 之 指派 给 波 特 兰 ) 和 空闲 空间 〈 由 一 个 /23、 一 个 /22 和 
一 个 /21 网 络 组 成 ) 。 在 这 个 例子 中 ， 我 们 遵循 我 们 的 最 优 分 配 策略 ， 保 留 大 型 的 地 
址 块 。 另 外 ， 我 们 可 简单 地 将 我 们 的 /20 网 络 分 成 八 个 /23 网 络 ， 除 非 策略 使 用 等 尺 


268 IP 地 址 管理 原理 与 实践 








才 的 分 配 ， 和 否则 这 种 方法 是 严重 浪费 的 ， 这 种 策略 是 均匀 分 配 策略 ， 它 与 按 需 分 配 策 
略 是 相反 的 。 

总 之 ， 分 割 一 个 地 址 块 的 过 程 ， 类 似 于 分 配 一 个 地 址 块 的 过 程 。 要 被 分 割 的 地 址 
块 被 不 断 地 划分 ， 直 到 得 到 期 望 的 地 址 块 尺寸 时 才 不 再 划分 。 剩 余 的 空闲 地 址 块 保持 
原状 ,或 也 被 分 割 为 期 望 地 址 块 大 小 的 相同 尺寸 ， 从 而 得 到 一 个 均匀 的 地 址 块 分 割 。 
DNS 对 反 向 域 树 和 管理 委派 的 获 含 意义 是 必须 要 考虑 的 。 且 要 牢记 在 心 的 是 ， 从 分 
割 得 到 的 每 个 网 络 ， 都 会 产生 一 个 附加 的 网 络 和 广播 地 址 。 


14.3.5 地 址 块 / 子 网 合并 


一 次 合并 将 两 个 连续 的 等 尺寸 地 址 块 或 子 网 组 合成 单一 地 址 块 或 子 网 。 在 地 址 块 
删除 一 节 我 们 看 到 了 合并 地 址 块 的 一 个 例子 。 在 释放 阿 纳 海 姆 地 址 块 10. 32. 142. 0/24 
之 后 ,我 们 将 其 合并 到 一 个 连续 的 空闲 地 址 块 10.32. 143.0/24， 得 到 单一 地 址 块 
10. 32. 142. 0/23。 可 实施 后 续 的 合并 ， 从 而 合并 连续 地 址 空间 的 较 小 地 址 块 。 合 并 仅 
对 相同 尺寸 的 连续 地 址 块 是 有 效 的 。 将 一 个 /25 网 络 和 一 个 /24 网 络 合 并 是 无 效 的 ， 
原因 是 没有 包括 在 合并 中 的 “ 另 一 个 /25 网 络 ” 一 定 还 保持 在 唯一 识别 使 用 状态 。 但 
是 ， 两 个 连续 的 /25 网 络 和 一 个 邻居 /24 网 络 可 被 合并 ， 形 成 一 个 /23 网 络 。 这 两 个 / 
25 网 络 将 首先 被 合并 形成 一 个 /24 网 络 ; 之 后 这 个 网 络 与 另 一 个 /24 网 络 可 被 合并 ， 
产生 一 个 /23 网 络 。 

被 合并 地 址 块 的 渐次 增加 的 做 法 ， 也 会 要 求 DNS 反 向 区 域 的 更 新 ， 以 便 将 低层 
设备 资源 记录 合并 到 一 个 “合并 的 ” 反 向 区 域 ， 以 此 反映 得 到 的 合并 子 网 。 


14.3.6 DHCP 服务 器 配置 


如 我 们 在 本 书 第 下 部 分 讲 到 的 ，DHCP 服务 器 配置 是 一 项 关键 的 IPAM 任务 。 如 
我 们 已 经 讨论 的 ， 迄今 为 止 讲 到 的 地 址 管理 任务 ， 对 DHO 服务 器 配置 具有 重大 影 
响 。DHCP 服务 器 配置 不 仅仅 是 地 址 池 创 建 、 移 动 和 删除 ， 虽然 其 他 功能 的 范围 会 受 
到 DHCP 服务 器 厂商 能 力 的 约束 ,但 也 不 仅仅 如 此 这 些 功 能 (还 有 其 他 功能 ) DH- 
CP 服务 器 配置 的 主要 参数 是 

(1) DHCP 地 址 池 。 地 址 范围 以 及 关联 的 DHCP 选项 ， 还 有 用 于 动态 客户 端 、 自 
动 化 的 客户 端 和 人 工 配 置 客户 端的 服务 器 策略 。 

(2) 客户 端 类 。 匹 配 值 的 参数 (例如 vendor-class-identifier = ’ Avaya’ 4600) 及 
关联 的 allow/deny W, WA DHCP 选项 和 服务 器 策略 。 

(3) 针对 主 / 故 障 切 换 或 分 割 范围 的 高 可 用 性 参数 设置 。 

(4) 服务 器 活动 的 配置 ， 例 如 动态 DNS 更 新 以 及 其 他 服务 器 命令 (directives) 
和 参数 。 

实际 的 服务 器 配置 语法 和 界面 将 取决 于 服务 器 类 型 。 例 如 ，ISC DHCP 服务 器 可 
通过 编辑 dhcp. conf 文件 进行 配置 ， 而 微软 DHCP 则 要 使 用 一 个 Windows MMC 界面 进 
行 更 新 。 这 两 个 厂商 和 其 他 DHCP 厂商 也 提供 命令 行 界面 或 API 来 实施 配置 更 新 。 在 
第 7 章 讲 到 的 DHO 部 署 ， 在 每 台 服 务 器 的 配置 中 也 扮演 了 一 定 的 角色 。 要 了 人 解 这 些 
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产品 和 其 他 产品 ， 请 参考 所 购买 软件 厂商 的 文档 材料 。 

(1) 地 址 指派 /DHCP 和 也 地 址 管理 。 为 了 确保 唯一 性 ， 需 要 记录 各 项 静态 IP 地 
址 指派 。 在 所 分 配 的 子 网 内 ， 无 论 是 静态 指派 的 还 是 动态 指派 的 ， 都 应 该 跟踪 DHCP 
地 址 池 ， 以 便 提 供 子 网 内 地 址 指派 的 总 体 视 图 。 虽 然 在 一 个 表格 内 跟踪 个 体 DHCP 租 
赁 是 不 容易 实施 的 ， 但 至 少 应 该 实施 表格 或 数据 库 内 地 址 池 分 配 的 跟踪 记录 。 这 将 有 
助 于 确保 随时 间 消 逝 ， 保 持 唯一 一 致 的 地 址 指派 。 

这 个 合并 的 地 址 指派 数据 库 提供 了 所 知 层次 的 IP 地 址 清单 。IPAM 全 球 公司 的 团 
队 为 静态 设备 (例如 路 由 器 、 交 换 机 和 服务 器 ) 在 每 个 子 网 上 都 指派 了 一 个 一 致 的 
IP 地 址 集 。 该 团队 也 为 打印 机 定义 了 许多 人 工 配 置 的 DHCP 地 址 ， 为 DHCP 客户 端 设 
备 〈 如 笔记 本 计算 机 和 VoIP 电话 ) 间 共 享 定义 了 地 址 池 。 针 对 清单 个 体 地 址 和 地 址 
池 指 派 ， 我 们 为 每 个 站 点 创建 了 一 个 新 的 标签 (tab) 页 (这 个 表格 正 变 得 非常 巨 
大 ) 。 对 于 某 些 设备 ， 附 加 的 “备注 ”信息 对 于 跟踪 也 是 有 用 的 ， 例 如 厂商 联系 方 
式 、 支 持 信息 ， 资 产 信息 等 。 

除了 跟踪 IP 地 址 指派 外 ， 必 须 实 施 相 应 DHCP 服务 器 (可 能 是 多 台 ) 的 配置 ， 
以 便 支持 DHCP 客户 端 得 到 地 址 。DHCP 服务 器 的 配置 ， 涉 及 采用 对 应 于 地 址 规划 内 
那些 指派 的 地 址 范围 ， 配 置 服务 器 。 在 图 14-1 中 ,我 们 分 配 了 地 址 10. 16. 128. 50 ~ 
10. 16. 129. 240 作为 一 个 DHCP 池 ， 所 以 必须 在 一 台 DHCP 服务 器 上 定义 这 个 地 址 范 
围 。 另 外 ， 为 了 正确 地 配置 不 同类 型 的 客户 端 ， 在 DHCP 服务 器 上 需要 配置 客户 端 类 
信息 、 选 项 和 其 他 配置 参数 。 这 项 配置 操作 可 采用 如 下 方式 实施 ， 针 对 ISC 的 DHCP 
服务 器 使 用 一 个 文本 编辑 器 ， 对 于 微软 DHCP 服务 器 使 用 微软 管理 控制 台 (MMC), 
或 使 用 一 个 IPAM 工具 ， 它 支持 针对 部 署 于 您 所 在 网 络 中 DHC 服务 器 类 型 ， 实 施 自 
动 化 的 DHCP 服务 器 配置 。 使 用 一 个 IPAM 工具 的 主要 优势 是 ，IP 清单 信息 容易 支持 
定义 DHCP 池 ， 且 可 在 IPAM 系统 中 定义 许多 DHCP 服务 器 配置 信息 ， 之 后 将 这 些 配 
置 施用 到 多 台 DHO 服务 器 ， 而 不 是 在 多 台 服 务 器 上 重复 性 地 进行 定义 。 


14. 3.7 DNS 服务 器 配置 


按照 本 书 第 五 部 分 的 描述 , 像 DHCP 一 样 ，DNS 服务 器 配置 是 一 项 至 关 重 要 的 
IPAM 功能 。 如 我 们 所 看 到 的 ，DNS 配置 与 地 址 分 配 、 指 派 、 移 动 和 删除 密切 地 联系 
在 一 起 。 前 面 讨论 的 这 些 任 务 影 响 DNS 域 、 资 源 记 录 ， 并 可 能 影响 服务 器 配置 参数 。 
关键 的 DNS 服务 器 配置 参数 如 下 。 

(1) 域 。 在 DNS 服务 器 上 添加 、 修 改 或 删除 域 / 区 域 。 

(2) 资源 记录 。 添 加 、 修 改 或 删除 资源 记录 。 

(3) 服务 器 、 视 图 和 区 域 配 置 。 设置 和 修改 选项 参数 会 影响 ACL、 服 务 器 配 
置 等 。 

实际 的 DNS 服务 器 配置 语法 将 取决 于 服务 器 类 型 。 可 通过 编辑 服务 器 上 的 
named. conf 和 关联 的 区 域 文件 ,配置 ISC BIND 服务 器 。 支 持 DDNS 的 DNS 服务 器 也 
支持 采用 这 种 方式 的 资源 记录 更 新 。 使 用 nsupdate 或 类 似 的 DDNS 机 制 的 做 法 ， 提 供 
了 实施 增 量 式 更 新 而 不 需要 人 工 编辑 区 域 文本 文件 并 重 载 相 应 区 域 (例如 使 用 mdc) 
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位 置 地 址 块 / 子 网 IP 地 址 地 址 和 设备 类 型 备注 
旧金山 | 10. 16. 128.0/23 | 10.16.128.1 静态 一 一 路 由 器 SanFran VoIP 子 网 路 由 器 1 
10. 16. 128.2 静态 一 一 路 由 器 SanFran VoIP 子 网 路 由 器 2 
10. 16. 128.3 静态 一 一 路 由 器 ”| SanFran VoIP 子 网 路 由 器 HSRP 地 址 
10. 16. 128.4 | 静态 一 DNS 服务 器 技术 支持 联系 Fred Jones 
IE i: 10. 16. 128.5 | 静态 一 一 FTP 服务 器 
10. 16. 128.6 静态 一 一 文件 服务 器 SanFran 备份 
10. 16. 128.7 | 静态 一 一 文件 服务 器 西雅图 的 备份 
10. 16. 128.8 静态 一 一 文件 服务 器 菲尼克斯 的 备份 
10. 16. 128.9 为 以 后 发 展 保留 
10. 16. 128. 10 静态 一 一 IPPBX IP PBX-SF1 
10. 16. 128. 11 静态 一 一 IPPBX IP PBX-SF2 
10. 16. 128. 20 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 21 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 22 工程 实验 室 服务 器 联系 工程 部 寻求 帮助 
10. 16. 128. 50 ~ 
ia te io od VoIP DHCP 技术 支持 联系 Mary Smith 











图 14-1 


IP 地 址 的 样 例 清单 表 


的 方法 。DDNS 更 新 仅 适用 于 资源 记录 增加 /改变 /删除 ， 所 以 任何 区 域 或 服务 器 配置 
参数 改变 或 区 域 添加 或 删除 ， 都 仍然 需要 进行 文本 文件 编辑 ， 并 重新 载 人 named. conf 
和 /或 被 影响 的 区 域 。 如 我 们 在 第 11 章 中 讨论 的 ， 您 的 DNS 服务 器 的 部 署 模型 也 在 
服务 器 配置 中 扮演 了 一 个 角色 。 

(1) DNS 和 下 地 址 管理 。 给 定 他 地 址 与 反 向 域 之 间 的 直接 关系 、 主 机 名 和 其 他 主 
机 信息 条 件 下 ， 清 楚 的 是 ，DNS 是 IP 地 址 管理 的 一 个 关键 组 件 。 在 一 个 全 子 网 上 的 各 
主机 被 指派 主机 名 (目的 是 方便 人 们 理解 ) 和 也 地 址 (目的 是 支持 通过 了 P 报 文 的 通 
ffi). DNS 提供 主机 名 和 IP 地 址 之 间 至 关 重 要 的 联系 ， 这 使 了 应 用 比较 容易 使 用 。 

从 一 个 下地 址 管理 角度 看 ， 明 显 的 是 ， 反 向 DNS 域 与 IP 地 址 块 和 子 网 分 配 有 直 
接 关联 。 这 些 域 是 直接 从 它们 相应 的 IP 地 址 推算 得 到 的 。IPAM 全 球 公司 是 从 其 ISP 
或 域 注册 处 得 到 ipamworldwide. com 域名 的 。 在 这 样 做 时 ，IPAM 全 球 公司 提供 三 个 
DNS 服务 器 地 址 ， 可 将 查找 ipamworldwide. com 后 缀 解析 的 和 迭代 查询 ， 定 向 到 这 三 个 
地 址 。 在 指派 万 维 网 、 电 子 邮 件 和 有 关 的 面向 因特网 的 服务 器 后 ， 这 个 域 后 级 可 帮助 
IPAM 全 球 公 司 创建 一 个 全 球 因 特 网 (点 ) 。 

在 组 织 机 构 内 ， 这 个 域名 也 用 在 内 部 网 上 。 为 公司 、 销 售 、 工 程 和 物流 团队 ， 定 
MT FM. LHF wR (eng. ipamworldwide. com) 被 委派 给 工程 团队 的 DNS 管理 员 ， 
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而 其 他 子 域 将 在 开 组 内 采取 中 心 式 管理 。 可 在 不 影响 IT 团队 管 理工 作 的 条 件 下 ， 工 
程 团 队 可 进一步 在 eng. ipamworldwide. com 之 下 创建 子 域 。 通 过 委派 eng FHR, IT 团 
队 赋 予 工程 团队 管理 所 有 eng 子 域 主机 及 其 子 域 的 权力 。 

在 遵守 中 心 式 IP 地 址 清单 的 常规 思维 过 程 中 ,得 到 的 结论 是 ， 应 该 实施 与 每 个 
IP 地 址 关联 的 主机 名 和 资源 记录 跟踪 。 在 我 们 的 IP 清单 表 (我 们 刚刚 回顾 了 IPAM 
全 球 公司 旧金山 办 事 处 的 情况 ) 的 基础 上 ， 我 们 可 针对 个 体 设备 跟踪 这 个 信息 ， 方 
法 是 在 我 们 的 表 上 简单 地 插入 FQDN 列 ， 如 图 14-2 所 示 。 



























































地 址 块 / 子 网 IP 地 址 地 址 类 型 FQDN 备注 
SanFran VoIP 
10. 16. 128. 0/23} 10. 16. 128.1 | 静态 一 一 路 由 器 router- sf01. ipamworldwide. com. 
子 网 路 由 器 1 
SanFran VoIP 
10. 16. 128. 2 | 静态 一 一 路 由 器 router- sf10. ipamworldwide. com. 
È 子 网 路 由 器 2 
SanFran VoIP + W 
10. 16. 128.3 | 静态 一 一 ter- sfl1. i ldwide. ; 
aS 路 由 器 router- si ipamworldwide. com 路 由 器 HSRP 地 址 
态 一 一 DNS 
10. 16. 128.4 前 ns- sf01. ipamworldwide. com 技术 支持 联系 
服务 器 Fred Jones 
10. 16. 128. 5 BS FIE ftp- sf. i Idwid 
. 16. 。 tp-si. ipamworldwide. com. 
服务 器 
> 
10. 16. 128.6 a, filecab-sf. ipamworldwide. com. San Fran 从 属 
2 
10. 16. 128.7 ig ii file- dr. ipamworldwide. com. 西雅图 备份 
态 一 一 
10. 16. 128. 8 静 a file- phx. ipamworldwide. com 菲尼克斯 备份 
10. 16. 128.9 为 发 展 增长 预 留 
10. 16. 128. 10 | 静态 一 一 IP PBX | denalol. corp. ipamworldwide. com. IP PBX-SF1 
10. 16. 128. 11 | 静态 一 一 IP PBX | denalo2. corp. ipamworldwide. com. IP PBX-SF2 
T ae: of 
10. 16. 128. 20 ERRE eng-sfl. eng. ipamworldwide. com. a tig 
服务 器 求 帮 助 
工程 实验 室 联系 工程 部 寻 
10. 16. 128. 21 eng-sf2. eng. ipamworldwide. com. 
服务 器 求 帮 助 
10. 16. 128. 22 TAARE eng-sf3. eng. ipamworldwide. com 联系 工程 部 村 
. 16. -sf3. eng. ipamw : ; 
服务 器 求 帮助 
10. 16. 128. 50 ~| 用 于 VoIP 电话 的 技术 支持 联系 
10. 16. 129. 240 DHCP 池 | Mary Smith 








图 14-2 带 有 FQDN 的 样 例 清单 表 
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在 上 例 中 ， 我 们 仅 跟 踪 每 台 静 态 确定 主机 的 FQDN。 从 DHCP 地 址 池 得 到 租赁 的 
各 主机 ， 是 通过 动态 DNS 更 新 它们 在 DNS 中 的 主机 名 信息 的 。 我 们 需要 确保 我 们 正 
确 地 将 这 个 清单 信息 转录 到 DNS 服务 器 配置 之 中 。 从 这 个 “数据 库 ”， 我 们 可 推算 得 
到 对 应 于 每 台 主 机 的 A、AAAA 和 PTR 记录 。 我 们 可 在 表格 上 扩展 列 ， 来 跟踪 与 给 定 
主机 关联 的 其 他 资源 记录 ， 例 如 CNAME, MX 等 。 


14.3.8 服务 器 升级 管理 


DHCP 和 DNS 服务 器 软件 的 新 版 本 是 周期 性 发 布 的 ， 目 的 是 解决 安全 弱点 ， 提 供 
缺陷 修正 ， 或 提供 新 的 功能 。 实 施 一 次 升级 的 紧迫 性 ， 通 常 取 决 于 要 解决 什么 ， 安 全 
弱点 当然 是 最 高 紧迫 性 的 。 典 型 情况 下 ， 升 级 过 程 是 特定 于 三 商 的 ， 并 可 能 要 求 匹 配 
硬件 平台 和 操作 系统 ， 只 有 在 这 种 匹配 条 件 下 ， 升 级 的 版 本 才 被 证 明 是 可 运行 的 。 人 
们 希望 的 是 ， 底 层 操作 系统 需求 将 仅 对 新 的 功能 特征 引入 时 才 会 发 生 改 变 ， 是 不 针对 
安全 或 缺陷 修正 的 ， 但 这 是 由 厂商 策略 所 控制 的 。 

在 一 个 整体 性 的 升级 包 中 ， 大 量 厂 商 DHCP/DNS 工具 (appliance) 升级 批量 进 
人 操作 系统 升级 才 是 必要 的 。 因 为 典型 情况 下 ,工具 厂商 和 硬件 平台 一 起 提供 操作 系 
统 ， 对 于 其 DHCP 和 DNS 服务 的 较 新 版 本 ， 如 有 必要 ， 他 们 应 该 发 布 兼容 性 升级 。 
多 数 工具 解决 方案 支持 升级 软件 包 的 中 心 化 阶段 式 进 行 ， 是 要 部 署 到 分 布 式 工具 的 ， 
这 极 大 地 简化 了 一 个 基于 软件 的 升级 过 程 难度 。 

如 果 您 正在 您 自己 的 硬件 上 运行 IC、 微软 或 其 他 厂商 的 DHCP 或 DNS 守护 进 
程 ， 则 您 将 不 仅 需要 不 断 了 解 DHCP/DNS 安全 更 新 ， 而 且 需 要 了 解 运行 在 硬件 上 影 
响 相 应 操作 系统 的 那些 更 新 。 


14.4 故障 管理 


故障 管理 不 仅 包括 故障 检测 ， 而 且 包括 告警 通知 、 故 障 隔 离 能 力 、 故 障 跟 踪 和 问 
题解 决 过 程 。 针 对 故障 和 事件 ， 对 DHCP 和 DNS 服务 器 实施 监测 ， 支 持 最 小 化 服务 
中 断 的 一 种 先 验方 法 。 在 一 个 良好 设计 的 网 络 服务 架构 中 ， 不 用 考虑 个 体 DHCP 或 
DNS 服务 器 中 断 的 情况 ， 客 户 端 应 该 能 够 得 到 地 址 租赁 ， 并 解析 域名 。 不 过 ， 对 这 种 
一 次 中 断 的 检测 是 重要 的 ， 原 因 是 〈 服 务 ) 中 断 会 减少 客户 端 可 用 来 得 到 这 些 服务 
的 服务 器 数量 ， 因 此 在 出 现 一 次 额外 的 服务 器 故障 情况 下 ， 会 增加 对 服务 中 断 的 脆弱 
性 。 例 如 ， 在 一 个 DHCP 故障 切换 部 署 中 ， 一 台 服 务 器 的 故障 将 仅 留 下 一 台 服 务 器 可 
用 于 服务 DHCP 客户 端 。 在 这 样 一 个 场景 中 ， 失 效 服务 器 的 检测 ， 可 有 利于 及 时 地 
(BRA NY) 解决 服务 器 中 断 。 


14.4.1 故障 检测 


取决 于 所 部 署 DHCP 和 DNS 服务 器 支持 的 能 力 ， 可 使 用 各 种 方法 来 实施 故障 检 
测 。 这 些 方法 范围 广泛 ， 从 专 有 的 轮 询 或 通知 ， 到 syslog 扫描 和 /或 转发 ， 到 基于 
SNMP 的 网 络 管理 系统 的 SNMP 轮 询 和 陷阱 检测 。 另 外 ， 一 些 商 用 IP 管理 系统 提供 系 
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统 内 或 专用 的 监测 方法 ， 特 别 对 于 基于 仪器 设备 的 产品 更 是 如 此 。 因 为 仪器 设备 是 完 
全 自 包含 的 解决 方案 ， 所 以 不 仅 集成 了 DHCP 和 DNS 服务 ， 而 且 集成 了 一 个 硬件 平 
台 和 操作 系统 ， 该 厂商 具有 如 下 能 力 ， 即 在 硬件 、 操 作 系统 和 DHCP/DNS 层次 ， 可 
完全 访问 与 仪器 设备 有 关 的 故障 信息 。 

除了 监测 DHCP 和 DNS 服务 器 的 状态 外 ， 正 如 可 由 服务 器 报告 的 ， 监 测 处 于 暂 
停 的 服务 ， 是 一 种 好 的 想法 。 在 如 下 情况 下 会 出 现 服务 暂停 ， 即 如 果 一 项 服务 正在 运 
行 ， 但 处 于 这 样 的 一 个 状态 ， 其 中 在 提供 地 址 租赁 或 解析 DNS 查询 方面 ， 它 不 能 实 
施 它 的 角色 任务 。 可 采用 如 下 步骤 检测 服务 暂停 ， 即 分 析 所 接收 和 处 理 的 对 地 址 租赁 
或 查询 事务 的 后 续 轮 询 ， 验 证 大 于 零 的 差异 计数 (differential counts) ， 其 中 假定 在 一 
天 的 那个 特定 时 间 处 正常 事务 率 是 非 零 的 。 

服务 测试 的 另 一 种 应 需 形式 涉及 向 服务 器 发 送 一 条 DNS 查询 或 DHCPDISCOVER 
(或 SOLICIT) 报 文 ， 并 验证 接收 到 一 条 正确 的 响应 报 文 。 这 种 策略 提供 了 某 种 保障 ， 
即 服务 不 仅 是 运行 的 ， 而 且 可 对 客户 端 做 出 响应 。 基 线 是 某 种 形式 的 服务 功能 性 故障 
检测 ， 对 于 一 名 端 用 户 可 能 认为 是 一 次 故障 或 中 断 的 情形 ， 提 供 一 个 较真 实 的 映射 
关系 。 

除了 监测 DACP 和 DNS 服务 器 外 ,对 IP 管理 系统 本 身 的 监测 ， 为 确保 可 访问 IP 
地 址 以 及 DHCP 和 DNS 服务 器 配置 信息 (在 中 断 妨 碍 得 到 这 些 信息 的 其 他 情况 下 可 
使 用 这 种 方法 )， 提 供 了 方便 。 采 取 最 小 模式 (最低 限度 )， 数据 存储 的 备份 或 分 布 
可 提供 一 个 快照 ， 出 现 一 个 站 点 中 断 或 灾难 时 ， 可 重建 信息 。 

联网 设备 和 通信 和 链 路 的 监测 ， 是 通用 网 络 监测 的 一 项 共同 实践 ， 它 可 对 影响 客户 
端 到 达 DHCP 或 DNS 服务 器 的 网 络 中 断 提 供 深 入 全 面 的 信息 。 在 对 一 个 特定 问题 排 
查 或 故障 排查 过 程 中 ， 这 项 额外 的 信息 是 非常 有 帮助 的 。 

故障 相关 是 对 从 多 个 网 元 或 管理 系统 除 所 接收 个 体 故 障 的 分 析 ， 有 助 于 隔离 故障 
集合 的 根源 。 例 如 ， 来 自 一 台 层 2 交换 机 、 一 台 路 由 器 和 一 台 WAN 接 人 设备 的 各 故 
障 可 被 整体 性 地 分 析 ， 揭 示 出 这 三 种 故障 是 相关 的 ， 可 能 的 根源 是 一 次 链 路 中 断 。 故 
障 相 关 是 大 型 网 络 管理 系统 的 一 项 共同 功能 ， 且 如 果 您 的 P 管 理 系统 提供 报警 反馈 ， 
就 能 够 将 之 馈 人 到 一 个 较 高 层 的 报警 关联 功能 。 不 论 故 障 相 关 是 由 一 个 网 络 管理 系统 
自动 实施 的 ， 还 是 人 工地 比较 来 自 多 个 系统 的 信息 ， 这 个 过 程 都 暴露 了 用 于 故障 分 析 
的 一 个 较 广 的 数据 集合 ， 目 标 是 将 一 个 故障 隔离 到 一 台 给 定 服务 器 、 一 条 链 路 或 一 个 
网 元 。 

对 于 负责 管理 一 个 卫 网 络 的 那些 人 员 来 说 ， 故 障 管 理 能 力 是 一 项 重要 考虑 ， 且 
关键 的 DHCP 或 DNS 网 络 服务 应 该 处 于 被 监测 的 那些 网 元 行列 之 中 。 可 取得 故障 影 
响 的 缓解 效果 ， 方 法 是 部 署 高 可 用 的 配置 ， 以 便 最 小 化 任意 个 体 组 件 一 次 故障 导致 的 
端 用 户 影 响 。 


14.4.2 排 错 和 故障 解决 


(1) IP 地 址 排 错 。 各 种 工具 可 用 于 排查 IP 指派 、DNS 和 DHCP 故障 ， 其 中 一 些 
其 至 可 由 您 的 IPAM 厂商 提供 。 为 了 验证 或 识别 IP 地 址 指派 ， 有 意 进行 的 或 无 意 注意 
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到 的 ， 各 种 发 现 技术 将 被 证 明 是 有 益处 的 。 从 一 种 简单 的 ICMP Echo 请 求 、ping、 
traceroute, nmap 或 SNMP， 可 用 各 种 工具 ， 尝 试 联系 个 体 主机 或 查看 路 由 器 或 交换 机 
ARP 表 。 许 多 IPAM 系统 至 少 继承 了 一 种 形式 的 发 现 技术 ， 以 便 提 供 IP 地 址 指派 的 
验证 或 协助 排 错 。 

(2) DNS 排 错 。 除 了 服务 器 可 达 性 和 服务 器 /服务 状态 检查 外 ， 对 DNS 解析 的 排 
错 ， 是 诊断 和 解决 DNS 问题 所 需要 的 一 项 关键 功能 。ISC 提供 了 一 对 配置 检查 工具 ， 
作为 载 入 网 络 配置 或 区 域 文件 之 前 的 一 次 语法 检查 ， 这 种 工具 是 有 用 的 。 

配置 文件 检查 。named-checkconf (144) 命令 实施 named. conf 文件 的 语法 检查 。 
这 个 命令 的 语法 是 

named-checkconf [ -v] [ -j] [ -t directory] [filepath] [ - z] 

命令 参数 定义 如 下 。 

1) -v: 打印 named-checkconf 的 版 本 。 

2) -j: 当 载 人 一 个 区 域 文件 时 ， 如 果 存 在 日 志文 件 ， 则 读 人 该 文件 。 

3) -t directory; 为 了 处 理 所 包 括 的 命令 (directive), Æ directory 的 root (chroot)。 

4) filepath: named. conf 文件 的 路 径 ， 默 认为 /etc/named. conf, 

5) -z: 按照 named. conf 中 定义 的 ， 载 人 主 区 域 文件 ， 来 验证 正确 的 载 人 。 

区 域 文件 检查 。named-checkzone (144) 工具 提供 对 一 个 特定 区 域 文件 的 语法 检 
查 。 这 个 命令 的 语法 为 

named-checkzone [ -v] [ -j] [ -d] [ -q] [ -c class] [ -k mode] [ -n mode] 
[ -o filename ] 

[ -t directory] [ —w directory] [ ~- D] [zonename] [ filepath ] 

命令 参数 定义 如 下 。 

1) -v: 打印 .named-checkzone 的 版 本 。 

2) -j: 当 载 人 一 个 区 域 文件 时 ， 如 果 存 在 日 志文 件 ， 则 读 入 该 文件 。 

3) -d: 激活 调试 。 

4) -q: 静默 模式 ，1 = 错误, 0 = 没有 错误 。 

5) -c class; 指定 区 域 类 : RUA IN, 

6) -k mode; 以 fail (失效 )、warn (警告 ) (默认 的 ) R ignore (忽略 ) 三 种 模 
式 (mode) 之 一 对 主机 名 实施 check-name 检查 。 

7) -n mode; 以 fail (KC). warn ($E) (默认 的 ) 或 ignore (忽略 ) 三 种 模 
式 (mode) 之 一 检查 NS 记录 是 否 不 正确 地 将 IP 地 址 用 作 RData。 

8) -o filename; 将 区 域 输出 写 到 filename, 

9) -t directory: 为 了 处 理 包 括 命 令 ， 将 root (chroot) 更 改 到 directory, 

10) -w directory: 为 了 处 理 包 括 命令 ， 将 当前 工作 目录 更 改 到 directory, 

11) zonename: 正 被 检查 的 区 域 的 域名 。 

12) filepath: 到 区 域 文件 的 路 径 。 

名 字 服 务 器 检查 。 在 最 流行 的 DNS 诊断 工具 中 ， 有 两 个 是 nslookup (名 字 服 务 器 
查找 ) 和 dig (域名 信息 探索 器 ) nslookup 被 包括 在 Windows DNS 安装 中 , 在 BIND 
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软件 发 布 中 都 带 有 nslookup 和 dig, nslookup (145) 是 一 个 简单 的 工具 ， 它 支持 对 一 
A DNS 服务 器 的 查询 。 如 今 ， 多 数 管 理 员 首选 dig， 该 工具 提供 对 查询 构造 形成 、 解 
析 器 配置 履 盖 (override)、 输 出 格式 化 等 的 更 多 细节 和 控制 。 为 了 使 用 nslookup m X 
施 单 一 查找 ， 简 单 输入 

nslookup lookup-value [ name server | 

其 中 lookup- value 是 要 查找 的 主机 域名 或 IP 地 址 ，name server 是 要 查询 的 服务 器 
AER IP Hahk, Z lookup-value 之 前 ， 可 能 包括 如 下 面 指定 的 其 他 选项 ， 每 个 选项 名 都 
有 一 条 横 线 作为 前 级 (例如 -timeout =5) 。nslookup 的 交互 模式 可 如 下 触发 ， 输 入 不 
带 参数 的 nslookup, AA nslookup， 后 跟 一 条 横 线 、 空 格 和 名 字 服 务 器 主机 名 或 IP 
地 址 ， 如 

nslookup — 172. 18.71. 105 

交互 式 模式 支持 输入 命令 ， 形 成 查询 并 执行 查询 。 可 使 用 如 下 交互 式 模式 命令 。 

1) host [nameserver] (主机 [和 名字 服务 器 ] ) : 在 指定 nameserver 或 默认 服务 器 
上 查找 host。 这 类 似 于 上 面 描述 的 命令 行 格式 。 

2) server domain; 使 用 当前 [默认 的 ] 服务 器 查找 domain， 将 默认 服务 器 更 改 
为 domain 的 权威 服务 器 或 domain 字段 中 指定 的 IP 地址。 

3) lserver domain; 使 用 当前 [默认 的 ] 服务 器 查找 domain， 将 当前 服务 器 更 改 
X domain 的 权威 服务 器 或 domain 字段 中 指定 的 IP 地 址 。 

4) exit (退出 ) : 退出 交互 式 模式 。 

5) set option [ = value] : 为 影响 查找 行为 ， 设 置 选 项 ; 通过 在 nslookup 命令 行 上 
的 选项 名 前 面 带 有 一 条 横 线 ， 也 可 在 非 交 互 式 模式 中 使 用 如 下 选项 。 

Q al: 显示 当前 选项 值 和 当前 [RU] 服务 器 和 主机 。 

@ class = value; 在 查询 内 设置 Qclass; 有 效 值 是 IN、CH、HS 或 ANY。 

@ [no] debug; debug 激活 所 有 响应 报 文 的 显示 ，nodebug 则 去 活 这 种 显示 。 

@ [no] d2: d2 打开 调试 ，nod2 关闭 调试 显示 。 

© domain = name; 将 域 搜 索 列 表 设 定 为 域 name, 

© [no] search; search 配置 使 用 域 搜索 解析 器 配置 ， 将 这 样 的 域 附加 到 至 少 有 
一 个 点 (dot) 的 不 完全 合格 的 搜索 之 后 。nosearch 去 活 使 用 这 个 搜索 列表 。 

@ port = value: 将 TCP/UDP 端口 号 设置 为 value; 默认 为 53。 

querytype = value: 将 Qtype 设置 为 到 要 查询 的 一 个 资源 记录 类 型 。 

© type =value; 与 querytype 相同 。 

四 [no] recurse; recurse 发 出 一 条 递归 查询 norecurse 不 发 出 这 样 的 查询 。 

D retry = number; 设置 查询 重 试 的 次 数 (number) 。 

Q timeout = seconds; 设置 等 待 一 条 应 答 的 秒 数 (seconds)。 

B [no] ve: ve 指令 nslookup 使 用 TCP，novc 使 用 UDP, 

D [no] fail: 如 果 接 收 到 一 个 SERVFAIL 或 一 个 转 荐 (referral), ， 则 nofail 将 
nslookup 设置 为 尝试 下 一 台 名 字 服 务 器 ; fail 不 尝试 下 一 台 服 务 器 。 

域 信息 探索 器 。dig'“ 支持 使 用 标准 DNS 消息 形成 一 条 DNS 查询 ， 它 模拟 一 个 解 
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析 器 或 递归 服务 器 。dig 提供 了 可 被 发 送 到 一 台 DNS 服务 器 的 一 条 查询 的 格式 的 粒度 
控制 ， 目 的 是 分 析 得 到 的 响应 。 

dig 命令 的 一 个 常见 范例 用 途 ， 简 单 地 请 求 对 一 个 主机 名 的 解析 : 

dig @ nsl. ipamworldwide. com A ftp-sf. ipamworldwide. com 

这 个 范例 将 导致 对 ftp- sf. ipamworldwide. com 的 一 条 A 记录 查询 发 送 到 DNS 服务 
器 nsl. ipamworldwide. com, dig 工具 有 效 的 可 能 参数 包括 以 下 内 容 。 

1) @server; 其 中 server 是 DNS 服务 器 的 域名 或 IP 地址 ， 要 向 该 服务 器 发 出 查 
询 。 如 果 没 有 指定 这 个 参数 ， 则 dig 将 查询 在 客户 端的 解析 器 配置 中 列 出 的 DNS 服 
P AÈ o 

2) -b address; 将 查询 的 源 IP 地 址 设 定 为 address。 对 于 测试 ACL 或 视图 而 言 ， 
这 是 有 用 的 。 

3) -c class; 要 查询 的 DNS 资源 记录 的 类 ; 默认 为 因特网 (Internet) 。 

4) -ffilename; 支持 发 出 连续 查询 ， 按 照 在 指定 filename 中 列 出 的 情况 ， 即 一 
条 查询 一 行 。 就 像 您 让 一 条 dig 命令 格式 化 给 定 查询 一 样 ， 对 文件 的 每 行进 行 格式 化 
(不 需要 在 每 行 都 指定 “dig”) 。 这 有 利于 在 一 步 中 自动 化 地 测试 一 组 关键 性 的 解析 。 
不 要 忘记 老板 心爱 的 解析 。 

5) -k filename; 对 查询 签名 ， 并 使 用 TSIG 验证 响应 签名 ，TSIG 是 在 filename 
中 指定 的 事务 签名 。TSIG 密 钥 必 须 与 DNS 服务 器 的 named. conf 配置 中 定义 的 密 负 
匹配 。 

6) -pport: 指定 用 于 查询 的 目的 地 UDP (TCP) 端口 ; 如 果 没 有 指定 ， 则 使 
用 默认 DNS 端口 53。 

7) -qname; 显 式 地 识别 在 查询 中 要 用 的 属 主 name, AGA “bare” (直接 
HI. PRAY) name 参数 。 即 dig - q sf-ftpl = dig sf-ftpl。 

8) -ttype: 显 式 地 识别 要 使 用 的 查询 类 型 ， 而 不 使 用 “bare” (直接 的 、 裸 的 ) 
type 参数 。 除 非 指定 -x， 和 否则 默认 类 型 是 “A”， 指 明 一 次 PTR 查找 。 

9) -x address: 为 指定 的 address， 确 定 一 个 PTR 查找 。 这 个 选项 支持 输入 一 个 
IPv4 地 址 或 IPv6 地 址 ， 但 如 果 和 类 型 PTR 使 用 -t， 则 名 字 必 须 格式 化 为 一 个 . arpa. 
名 字 。 

10) -y [hmac:] name; key; 指定 一 个 显 式 的 TSIG BH (而 不 是 使 用 -k 选项 
引用 一 个 文件 ) 。hmac 字段 指明 密 钥 算 法 ， 默 认为 HMAC-MD5 name 字段 是 TSIG 密 
HZ, key 是 密 钥 本 身 。 当 使 用 -y 选项 时 ， 应 该 小 心 谨慎 ， 原 因 是 可 从 输出 或 命令 外 
壳 历 史 中 看 到 密 钥 。TSIG 密 钥 必 须 匹 配 DNS 服务 器 的 named. conf 配置 中 定义 的 
密 钥 。 

11) -4: 使 用 IPv4 传输 发 送 查 询 。 

12) -6: 使 用 IPv6 传输 发 送 查 询 。 

13) name: 要 查询 的 属 主 名 。dig 支持 国际 化 的 域名 (IDN)， 所 以 可 指定 非 
ASCII Z Zo 

14) type: 在 查询 中 要 查询 的 查询 类 型 。 默 认 类 型 为 A。 
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15) class; 要 查询 的 资源 记录 类 。 默 认 类 为 因特网 。 

16) -h: 打印 命令 的 帮助 摘要 ; WR dig 命令 没有 指定 参数 ， 则 提供 帮助 摘要 。 

17) 查询 选项 : dig 提供 了 许多 选项 ， 可 指派 带 有 包括 或 显 式 排除 的 查询 特征 。 
加 号 ( + ) 被 用 来 指明 每 个 选项 ，no 关键 字 指 明 不 使 用 指定 的 特征 。 就 像 在 确认 中 
输入 的 那样 (没有 no 关键 字 ) ， 写 上 每 个 选项 的 描述 。 注 意 在 可 选 的 no 关键 字 和 选 
项 名 之 间 ， 在 这 个 列表 中 给 出 一 个 空格 (出 于 可 读 性 考虑 )。 但 是 ， 当 输入 相应 的 命 
令 时 ， 要 忽略 空格 ， 例 如 + notcp 指明 + top 选项 的 相反 指令 (Hl notcp) 。 

传输 选项 

1) +bufsize = bytes: 将 UDP 消息 缓冲 尺寸 设 定 为 bytes 个 字 节 ; 有 效 值 范围 从 0 
到 65 ，535 。 

2) + [no] fail: 指令 dig 在 接收 到 一 个 SERVFAIL 结果 时 ,不 要 尝试 下 一 台 候 
选 服务 器 。 这 是 dig 的 默认 行为 ， 这 与 解析 器 的 行为 相反 。 

3) + [no] ignore: 忽略 从 一 条 UDP 查询 得 到 的 任何 截 短 情况 ; 正常 情况 下 ， 
这 样 的 一 个 UDP 截 短 场景 将 导致 使 用 TCP 重新 发 送 该 请 求 〈( 当 使 用 + noignore 时 出 
现 这 种 情况 ) ， 但 使 用 + ignore 设置 的 做 法 ， 就 指令 dig 不 要 使 用 TCP 重新 发 送 该 
查询 。 

4) + [no] tcp; 使 用 TCP 进行 查询 ; 默认 情况 下 ， 对 AXFR 或 IXFR 查询 使 用 
TCP， 对 所 有 其 他 查询 使 用 UDP。 

5) +time =time: 将 查询 超时 设置 为 time 秒 (默认 =5, 最 小 =1)。 

6) +tries=n; 设置 次 数 n， 在 没有 一 条 应 答 时 ， 将 发 送 一 条 UDP 查询 (默认 = 
3, 最 小 =1)。 

7) +retry =n: HEKA n, 在 没有 一 条 应 答 时 ,在 第 一 次 查询 后 将 重 发 一 条 
UDP 查询 (默认 =2， 最 小 =1)。 更 清楚 地 说 ， 就 是 ， + tries 指定 总 尝试 次 数 ， 而 
+retry 指 定 在 初始 尝试 之 后 的 尝试 次 数 。 

8) + [no] ve: 使 用 TCP 进行 查询 (ve = 虚 电 路 ); 默认 情况 下 ， 对 AXFR 或 
IXFR 查询 使 用 TCP， 对 所 有 其 他 查询 使 用 UDP。 

解析 器 配置 重 写 (覆盖) 选项 

1) + domain = domainname; 将 域 搜 索 列 表 排 他 地 设置 为 指定 的 domainname, 

2) +ndots =m: 指定 名 字 中 要 有 的 点 数 ( 即 “.”) (m)， 如 此 才 被 认为 是 合格 
的 ; 即 ， 当 在 名 字 字 段 中 输入 较 少 的 点 数 时 ，dig 将 附加 上 在 域 中 指定 的 域名 或 解析 
器 配置 中 的 搜索 参数 。 

3) + [no] search, 支持 基于 解析 器 客户 端 指定 的 搜索 列表 或 域 指令 (direc- 
tive) ， 进 行 域 搜索 列表 处 理 。 

4) + [no] defname: 废弃 不 用 一 一 等 价 于 + [no] search, 

5) + [no] showsearch: 显示 中 间 搜 索 结 果 。 

DNS 首部 设置 选项 

1) + [no] aaonly: 在 查询 的 首部 中 设置 权威 答案 (AA) 比特 ， 指 明 期 望 得 到 
一 个 权威 〈 非 缓存 的 ) BR. 
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2) + [no] aaflag: 等 价 于 + [no] aaonly。 

3) + [no] adflag: 在 查询 的 首部 中 设置 真实 的 数据 (AD) 比特 。 这 个 选项 用 
来 提供 “完备 性 ”， 虽 然 它 并 没有 什么 意义 。 正 常情 况 下 ，AD 比特 由 一 台 服 务 器 设 
置 ， 指 明 查 询 响 应 数据 已 经 通过 DNSSEC 核验 得 到 验证 。 

4) + [no] cdflag: 在 查询 的 首部 中 设置 检查 去 活 (CD) 比特 ， 指 令 被 查询 的 
DNS 服务 器 去 活 这 条 查询 的 DNSSEC 签名 核验 功能 。 

5) + [no] dnssec: 在 EDNS0 OPT 记录 中 设置 DNSSEC OK (DO) 比特 ,指明 
期 望 进行 DNSSEC 处 理 。 

6) +edns = version: 将 EDNS 版 本 设置 为 version。 

7) +noedns: 清除 以 + edns 设置 的 EDNS version, 

8) + [no] recurse: 在 查询 的 首部 中 设置 期 望 使 用 递归 (RD) 比特 。 除 非 指定 
+ nssearch 或 + trace HEM, AM dig 查询 默认 地 设置 RD 比特 ， 请 求 递 归 查询 。 

输出 选项 

1) + [no] all; 以 默认 格式 显示 结果 ; 设置 + noall 会 抑制 所 有 结果 。 

2) + [no] cmd: 显示 dig 输出 的 第 一 行 ， 该 行 指 明 dig 的 版 本 和 所 施用 的 查询 
选项 。 默 认 地 显示 这 一 行 。 

3) + [no] comments; 正常 情况 下 ，dig 显示 以 DNS 消息 格式 组 织 好 的 结果 ， 按 
照 首部 、 问 题 节 、 答 案 节 、 权 威 节 和 附加 节 的 顺序 进行 组 织 。 应 答 的 这 些 “ 节 ”和 
空 行 ， 被 认为 是 输出 中 的 注释 ， 目 的 是 提升 可 读 性 。 设 置 + nocomments 会 抑制 输出 中 
的 这 些 行 。 输 出 将 仍然 包含 查询 时 间 、 服 务 器 、 时 间 惟 和 消息 尺寸 ， 虽然 这 些 也 可 使 
用 + nostats 进行 抑制 。 

4) + [no] identify; 当 与 + short 一 起 使 用 时 ， 也 显示 DNS 服务 器 (提供 每 个 答 
案 ) 的 全 地 址 和 端口 号 。 

5) + [no] multiline; 以 多 行 格式 显示 复杂 的 资源 记录 (例如 SOA); 默认 情况 
下 ， 是 在 单行 上 显示 一 条 记录 。 

6) + [no] nssearch; 显示 在 name 字段 (或 -n 参数) 中 所 指定 域 权威 服务 器 的 
SOA 记录 。 

7) + [no] short: 显示 一 个 简洁 的 答案 。 例 如 ， 当 发 出 查找 一 个 给 定名 字 的 一 
条 A 查询 时 , 仪 显示 所 解析 得 到 的 IP 地址 (可 能 有 多 个 地 址 )。 

8) + [no] stats: 显示 查询 时 间 、 做 出 响应 的 名 字 服 务 器 、 时 间 稚 和 消息 尺寸 。 

9) + [no] trace; 针对 所 查询 的 名 字 ， 显 示 从 根 服务 器 到 权威 名 字 服 务 器 的 
委派 路 径 。dig 将 向 沿 委派 路 径 向 下 的 每 台 服 务 器 发 出 迭代 式 查 询 ， 显 示 沿 路 来 自 
每 台 服 务 器 的 答案 。 在 识别 域 树 中 有 缺陷 的 〈 断 开 的 ) 委派 过 程 中 ， 这 是 非常 有 
用 的 。 

DNS 消息 选项 

1) + [no] additional: 显示 响应 的 附加 节 (默认 情况 下 ,显示 附加 节 内 容 )。 

2) + [no] answer; 显示 响应 的 答案 节 (默认 情况 下 ， 显 示 答 案 节 内 容 ) 。 

3) + [no] authority; 显示 响应 的 权威 节 (默认 情况 下 ， 显 示 权 威 节 内 容 ) 。 
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4) + [no] besteffor: 显示 错误 形式 之 消息 的 内 容 (默认 情况 下 ， 不 显示 错误 形 
式 的 响应 ) 。 

5) + [no] cl: 显示 这 条 查询 的 dig 结果 的 资源 记录 类 。 

6) + [no] nsid: 包括 EDNS NSID 请 求 选项 ， 目 的 是 从 服务 器 处 请 求 名 字 服 务 
器 的 身份 。 

7) + [no] qr: 当 将 查询 发 送 到 DNS 服务 器 时 ， 显 示 该 查询 ， 默 认 情 况 下 是 按 
照 首 部 和 问题 字段 进行 组 织 的 。 

8) + [no] question; 显示 响应 的 问题 节 (默认 情况 下 ， 显示 问题 节 内 容 )。 

9) + [no] ttid: 显示 这 条 查询 的 dig 结果 的 资源 记录 TTL. 

DNSSEC 签名 核验 

1) + [no] sigchase; 寻找 DNSSEC 签名 链 ; BER dig 编译 时 使 用 -DDIG_ SIG- 
CHASE 开关 项 

2) +trusted-key = filename: 识别 包含 信任 密 钥 的 一 个 filename (文件 名 ) ， 要 与 
+ sigchase 一 起 使 用 ; 要 求 dig 编译 时 使 用 -DDICG_ SIGCHASE 开关 项 

3) + [no] topdown; 当 查 找 DNSSEC 签名 链 与 + sigchase 一 起 使 用 时 ， 实 施 自 
顶 向 下 的 核验 ; BER dig 编译 时 使 用 -DDIG_ SIGCHASE 开关 项 

BIND 9 的 dig 工具 允许 在 单一 命令 行 上 输入 多 条 查询 ， 方 法 是 简单 地 串 接 后 续 查 
询 的 名 字 - 类 型 -参数 -选项 字符 串 。 例 如 ， 下 面 形 象 地 说 明了 运行 针对 IP 地 址 
10.0.3.43 PTR 查找 的 查询 ， 包 括 显示 该 查询 ， 同 时 带 有 一 条 查找 “ftp” 的 CNAME 
查询 ， 还 要 将 解析 器 域 后 缀 设置 为 ipamworldwide. com, 

dig - x10.0.3.43 + qr ftp CNAME + domain = ipamworldwide. com 

(3) DHCP 排 错 。 可 使 用 DHCP 客户 端 能 力 ， 例 如 Windows 的 ipconfig, 3Ẹ Unix 
或 Linux 的 ifconfig 命令 ,来 实施 测试 DHCP 事务 。 这 些 命令 提供 实施 DHCP 释放 、 刷 
新 和 设置 用 户 类 的 能 力 。 例 如 ， 在 一 个 微软 Windows 上 使 用 ipconfig 命令 行 ， 支 持 使 
用 如 下 参数 显示 IP 配置 : 

1) /all: 针对 每 个 接口 显示 IP 配置 信息 ,包括 以 下 内 容 。 

O IPv4 地 址 和 子 网 掩 码 。 

@ 其 他 IP 地址 ,包括 IPv6 地 址 。 

@ MAC 地 址 (可 能 有 多 个 )。 

@ 接口 描述 。 

®© DNS REA. 

© 默认 网 关 。 

@ DHCP 服务 器 ， 从 之 得 到 地 址 租赁 ， 还 要 得 到 该 租赁 的 日 期 /时 间 以 及 超期 的 
日 期 时间。 

用 于 解析 器 配置 的 DNS 服务 器 。 

© 为 进行 NetBIOS 查找 ， 要 查询 的 WINS 服务 器 (如 果 配 置 了 的 话 )。 

2) 如 果 忽 略 /all 参数 ， 则 仅 显 示 IP 地 址 、 子 网 掩 码 、 域 后 级 和 默认 网 关 。 

3) /?: 以 命令 摘要 的 形式 ， 显 示 帮 助 (help). 
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4) /displaydns; 显示 解析 器 缓存 的 内 容 。 

5) /showclassid adapter: 显示 为 指定 接口 适配器 所 配置 的 用 户 类 。 

ipconfig 也 提供 如 下 命令 。 

1) /release [adapter]: 发 出 一 条 DHCPRELEASE, 释放 所 有 或 指定 接口 适配器 的 
地 址 租赁 。 

2) /renew [adapter]: 发 出 一 条 DHCPRENEW, ， 刷 新 所 有 地 址 租赁 或 指定 接口 适 
配器 的 地 址 租赁 。 

3) /registerdns; 发 出 一 条 DHCPRENEW, 刷新 所 有 地 址 租赁 ， 并 直接 更 新 DNS 
A 记录 (可 能 有 多 个 ) (客户 端 发 送 到 DNS 服务 器 的 ， 而 不 是 DHCP 服务 器 到 
DNS 的 )。 

4) /flushdns: 清除 解析 器 缓存 。 

5) /setclassid adapter class; 针对 指定 的 接口 适配器 ， 设置 用 户 类 名 。 


14.5 UKER 


基本 上 而 言 ， 记 账 的 意图 是 使 每 个 人 保持 诚实 。 那 些 被 指派 的 地 址 仍然 在 使 用 
吗 ? 任何 没有 被 指派 的 地 址 实际 上 在 被 人 使 用 吗 ? 新 子 网 在 路 由 器 上 还 没有 被 准备 好 
可 以 提供 吗 ? 因此 记 账 管理 支持 成 功 配置 的 验证 ， 以 及 严格 遵守 IP 编 址 规划 。 记 上 账 
管理 功能 的 各 项 技术 ,包括 IP 地 址 、 路 由 器 子 网 、 交 换 机 端口 映射 、DNS 资源 记录 
和 DHCP 租赁 文件 等 的 发 现 分 析 。 

被 发 现 信息 的 分 析 是 必要 的 ， 目 的 是 将 这 个 信息 与 IP 清单 “记录 规划 ”进行 比 
较 。 这 项 差异 报告 和 比较 过 程 是 困难 的 工作 ， 但 却 提供 了 一 定 程度 的 清单 准确 性 保 
障 。 如 果 没 有 这 项 功能 ， 无 赖 用 户 会 免费 地 访问 服务 ， 或 渗透 到 网 络 之 中 。 另 外 ， 规 
划 的 网 络 变更 还 没有 实现 的 话 ， 则 可 导致 下 游 处 理 延 迟 ， 以 及 服务 准备 提供 间隔 上 的 
内 部 或 外 部 服务 水 平 协议 的 违规 。 


14.5.1 确保 清单 准确 


到 此 为 止 我 们 所 讲 到 的 每 项 常见 的 IP 管理 任务 ， 都 依赖 于 准确 的 IP 地 址 清单 ， 
来 支持 地 址 块 、 子 网 、IP 地 址 等 的 分 配 、 删 除 和 移动 ， 以 及 DHCP 和 DNS 服务 器 配 
置 。 对 于 这 些 地 址 管理 任务 而 言 ， 准 确 性 是 绝对 必要 的 。 但 是 对 于 通常 的 排 错 而 言 ， 
准确 的 清单 信息 也 同样 是 必 不 可 少 的 。 如 果 由 于 一 次 网 络 中 断 导 致 一 个 远程 站 点 不 可 
达 ， 则 为 在 该 站 点 处 的 各 设备 识别 IP 地 址 、 资 源 记 录 或 其 他 IPAM 有 关 数 据 ， 就 是 必 
要 的 。 当 最 需要 这 样 的 信息 以 及 不 能 直接 从 网 络 得 到 这 样 的 信息 时 ， 仅 有 维护 一 个 准 
确 的 IP 清单， 才能 保证 得 到 这 样 的 信息 。 

在 本 节 ， 我们 将 回顾 这 样 的 步骤 ， 您 可 用 来 确保 IP 清单 的 准确 性 。 这 包括 控制 
由 谁 对 某 些 IPAM 信息 做 出 某 些 改变 ， 发 现实 际 的 网 络 数据 ， 将 实际 数据 与 清单 保持 
一 致 ， 并 最 终 回收 地 址 空间 。 

(1) 变更 控制 和 管理 员 责 任 。 在 回顾 这 些 IP 管理 任务 中 如 我 们 所 看 到 的 ，IP 清 
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单 中 的 一 次 变更 经 常会 影响 其 他 网 元 ， 包 括 路 由 器 以 及 DHCP 和 DNS 服务 器 。 如 果 
不 同人 或 团队 管理 着 这 些 不 同 的 单元 ， 那 么 周期 性 地 召开 规划 或 变更 控制 会 议 , 或 依 
据 需 要 来 回顾 和 调度 近期 规划 的 寻 址 变更 ,就 是 一 种 好 的 思路 。 对 这 个 过 程 要 添加 某 
种 纪律 性 ， 要 稍稍 严格 一 些 ， 并 使 那些 可 能 被 变更 所 影响 的 信息 或 设备 处 在 控制 
之 内 。 

有 助 于 确保 IP 清单 本 身 准 确 性 的 一 种 方式 ， 是 限制 如 下 人 员 对 清单 的 写 访问 ， 
这 些 人 员 是 IP 寻 址 规划 的 权威 ， 并 相当 了 解 该 规划 。 使 用 单一 口令 保护 的 表格 ( 仅 
A IP 规划 人 员 可 修改 ) ， 是 保护 IP 清单 不 被 疏忽 的 或 错误 的 变更 所 修改 的 一 种 方法 。 
但 是 ， 即 使 对 于 中 等 规模 的 组 织 机 构 而 言 ， 这 种 方法 也 是 不 可 行 的 。 如 果 组 织 机 构 依 
赖 于 单个 人 进行 整个 IP 地址 规划 ,那么 这 个 人 必须 不 停 软 地 工作 ， 如 果 他 或 她 离开 
该 组 织 机 构 ， 那 么 恢复 对 清单 的 访问 可 能 是 非常 困难 的 ， 除非 提 前 培训 一 名 接替 
人 员 。 

并 行 支持 多 名 管理 人 员 是 市 场 上 多 数 IPAM 系统 的 一 项 关键 功能 ， 且 多 数 系统 运 
行 某 种 程度 的 范围 控制 ， 从 而 使 某 些 管理 员 仅 能 在 某 些 设备 上 或 网 络 的 某 些 部 分 实施 
某 些 功能 。 确 保 您 所 选中 的 系统 支持 管理 员 日 志 记 录 ， 这 是 预防 如 下 情况 ， 您 需要 查 
出 在 系统 上 “ 谁 做 了 什么 ”操作 。 

和 约束 对 IP 清单 的 多 名 管理 员 受 限 范围 访问 一 样 重要 的 是 委派 职责 ， 对 IP 地 址 
指派 、DNS 资源 记录 、 子 网 地 址 等 的 任意 变更 ， 可 在 IP 清单 范围 之 外 进行 。 例 如 ， 
人 工 配置 可 能 会 输入 错误 ， 子 网 可 能 被 配置 在 错误 的 路 由 器 接口 上 ， 以 及 对 DNS 的 
客户 端 或 DHCP 更 新 ， 都 可 能 导致 IP 清单 偏离 真实 情况 。IP 清单 是 IP 地 址 规划 的 一 
个 模型 IPAM 任务 依赖 于 规划 的 准确 性 。 因 此 ， 要 从 IP 网 络 进行 “规律 性 地 读 取 数 
据 ” 时 ， 就 是 明智 之 举 。 周 期 性 地 轮 询 并 将 网 络 上 的 实际 指派 与 清单 进行 比较 ， 是 
确保 清单 准确 的 关键 。 

(2) 网 络 发 现 。 有 各 种 方法 可 用 来 采集 网 络 真 实数 据 ， 从 ping 到 DNS 查找 到 
SNMP 轮 询 。pinging 支持 一 个 卫 地 址 占有 情况 的 检测 ， 并 提供 哪些 地 址 正在 被 用 
(与 IP 清单 的 相应 部 分 进行 比较 ) 的 一 种 基本 方法 。ping 是 非常 有 用 的 ， 但 要 知道 ， 
一 些 路 由 器 或 防火 墙 将 丢弃 ping 报 文 ， 或 甚至 一 些 设备 可 被 配置 成 忽略 ping。 将 远程 
ping 代理 设置 为 依据 命令 实施 局 部 的 pinging， 这 种 做 法 可 帮助 绕 开 路 由 器 /防火 墙 穿 
越 问 题 。 

可 在 insecure. org/nmap 免费 得 到 的 amap， 是 以 合适 代价 可 得 到 的 一 个 特别 有 用 
的 工具 。 它 组 合 了 几 种 发 现 机 制 ， 用 来 从 连接 到 IP 网 络 的 设备 处 采集 各 种 信息 ， 这 
几 种 机 制 包括 ping 扫荡 (sweep), DNS 查找 和 端口 扫描 。 当 扫 葛 一 个 子 网 时 ，nmap 
可 在 一 条 命令 中 实施 这 些 任务 ， 向 每 个 地 址 发 出 一 条 ping, fe DNS 中 查找 一 条 相应 
的 PTR 记录 ， 并 尝试 连接 到 各 个 TCP 和 UDP 端口 ， 以 便 识别 设备 的 操作 系统 。 从 一 
个 IPAM 视角 看 ，ping 结果 有 助 于 识别 IP 地 址 占有 情况 ，DNS 查找 帮助 确认 核实 DNS 
服务 器 和 IP 清单 之 间 主 机 名 到 IP 地 址 的 映射 情况 ， 端 口 扫描 可 提供 占有 每 个 P 地 址 
之 设备 类 型 的 其 他 信息 。 

SNMP 是 发 现 P 清单 有 关 信 息 的 另 一 种 方法 。 多 数 端 设备 (如 笔记 本 计算 机 或 
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VoIP 电话 ) 本 地 并 不 支持 SNMP， 而 多 数 基础 设施 单元 (如 路 由 器 、 交 换 机 和 服务 
at) 却 支持 SNMP。 在 路 由 器 MIB 内 人 们 特别 关注 的 是 Interfaces (接口 )、IpAddress- 
es (IP 地址 ) 和 Arp 表 。 如 果 您 的 基础 设施 设备 支持 MIB-I， 那 么 在 不 同 产品 间 这 些 
表 的 解释 应 该 是 一 致 的 。 即 使 在 来 自 同 一 厂商 的 不 同 产品 间 ， 也 要 了 解 微小 差异 。 在 
这 些 表 中 的 信息 ， 支 持 接口 和 子 网 (每 个 接口 所 提供 的 ) 的 信息 收集 ， 是 由 路 由 器 
报告 的 。 一 般 来 说 ， 这 提供 了 清单 的 有 用 核验 方法 ,但 也 可 在 地 址 块 和 子 网 的 分 配 、 
移动 或 删除 过 程 中 进行 轮 询 。 

轮 询 路 由 器 的 ARP 缓存 表 ， 可 提供 在 最 近 的 子 网 通信 上 MAC 地 址 到 IP 地 址 的 
一 种 确定 映射 关系 。 即 使 一 台 设 备 拒绝 对 一 条 ping 做 出 响应 ， 但 也 一 定 可 以 使 用 地 
址 解析 协议 (ARP) 形成 一 个 层 2 (例如 以 太 网 ) 帧 ,在 该 帧 内 封装 预期 包括 的 IP 
报 文 。 正 如 这 是 被 缓存 的 信息 这 个 事实 所 蕴含 的 ， 它 是 临时 性 的 ， 并 必须 频繁 地 加 以 
轮 询 。 

考虑 到 在 一 个 /64 子 网 上 有 2“ 个 可 能 IP 地址 的 庞大 规模 ， 所 以 要 pinging 一 个 
IPv6 子 网 是 不 现实 的 。 轮 询 一 个 路 由 器 的 邻居 发 现 表 ， 例 如 ipv6NetToMedia SNMP 
MIB ， 是 实施 IPv6 主机 发 现 的 一 种 更 加 有 效 的 方法 。 

(3) IP 清单 一 致 性 检查 〈reconciliation ) 。 网 络 发 现 信 息 ， 提 供 了 对 实际 的 子 网 
分 配 、IP 地 址 指派 和 相关 联 的 资源 记录 等 的 真实 检查 。 通 过 将 发 现 的 信息 与 卫 清单 
数据 库 相 比较 ， 就 可 识别 并 调查 差异 。 虽 然 这 种 比较 会 要 求 “仔细 检查 ” (eye- 
balling) 清单 表格 和 发 现 输出 之 间 的 差异 ， 但 出 于 几 个 原因 ， 证 明 这 种 付出 是 有 益 
的 。 例 如 ， 可 以 识别 数据 库 差异 ， 可 能 是 如 下 几 方 面 导致 的 : 

1) 不 正确 的 路 由 器 信息 提供 。 不 正确 的 子 网 、 掩 码 、 路 由 器 接口 等 。 

2) 不 完全 的 路 由 器 信息 提供 。 规 划 的 变更 还 没有 实现 。 

3) 设备 可 达 性 问题 。 如 果 一 台 设 备 应 该 处 在 一 个 给 定 IP 地 址 上 , 但 没有 接收 到 
响应 。 这 可 能 源 于 一 次 设备 中 断 、 一 次 临时 的 中 断 (重启 )、 地 址 重新 指派 或 网 络 不 
可 达 。 

4) 不 正确 的 IP 地址 指派 。 人 工 配 置 的 地 址 是 不 正确 的 ， 或 设备 从 一 个 没有 预料 
到 地 址 池 或 地 址 处 得 到 一 个 DHCP 地 址 。 这 个 问题 特别 适用 于 人 工 指派 的 地 址 ， 其 中 
配置 指派 的 IP 地 址 、 检 测 自 动 配置 的 设备 和 更 新 DNS 时 需要 人 工 介 入 。 

5) 实际 的 IP 地 址 指派 。 对 于 自动 配置 的 设备 ，IP 地 址 是 由 设备 选择 的 。 同 样 在 
一 些 去 中 心 化 场景 中 ， 子 网 上 一 台 设 备 的 安装 人 员 (installer) 可 选择 一 个 IP 地 址 。 
对 于 这 些 情 形 ， 可 使 用 发 现 功能 来 更 新 P 清单 。 

6) 信息 不 全 的 IP 地址 指派 。 无 论 是 人 工 指派 还 是 DHO 指派 过 程 ， 指 派 过 程 的 
所 有 方面 都 是 信息 不 全 的 。 这 个 问题 特别 适用 于 人 工 指派 的 地 址 ， 其 中 配置 指派 的 
IP 地 址 、 检 测 自动 配置 的 设备 和 更 新 DNS 时 都 需要 人 工 介 入 。 

7) 存在 流 误 设 备 。 一 个 未 知 的 或 未 被 授权 的 设备 已 经 得 到 一 个 IP 地 址 。 这 提供 
了 一 种 有 效 的 访问 后 (post-access) 控制 机 制 ， 用 来 弥补 和 审计 一 种 网 络 访问 控制 解 
决 方案 。 

除了 检测 差异 外 ， 分析 发 现 信息 ， 可 确认 分 配 或 指派 任务 以 及 删除 任务 的 完成 。 
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当 移动 地 址 块 、 子 网 和 耳 地 址 时， 发 现 数据 是 必 不 可 少 的 。 因 为 移动 要 求 分 配 新 地 
址 (可 能 有 多 个 )、 移 动 ， 之 后 是 删除 旧地 址 (可 能 有 多 个 )， 所 以 在 从 IP 清单 中 删 
除 旧地 址 (可 能 有 多 个 ) 之 前 ,确认 移动 的 完成 就 是 至 关 重要 的 。 在 移动 完成 之 前 ， 
这 些 地 址 不 应 该 被 删除 ， 从 而 在 它们 实际 被 删除 之 前 ， 使 它们 不 会 被 未 知 地 重新 指派 
给 其 他 设备 或 子 网 。 

总 之 ， 对 于 确保 IP 清单 的 准确 性 而 言 ， 网 络 发 现 是 至 关 重 要 的 。 对 于 监测 信息 
准备 提供 或 指派 进度 和 时 间 帧 、 管 理 要 求 多 个 有 关子 任务 的 任务 完成 以 及 检测 不 正确 
的 指派 和 潜在 的 流 误 设 备 ， 网 络 发 现 也 是 有 益 的 。 


14.5.2 地 址 回收 


上 面 所 讨论 网 络 发 现 和 一 致 性 检查 的 另 一 项 益处 是 ， 设 备 可 达 性 检测 问题 。 如 果 
一 台 设 备 已 经 准备 就 绪 ， 并 在 一 个 给 定 IP 地 址 上 过 去 是 做 出 响应 的 ， 但 现在 不 再 做 
出 响应 ， 这 样 的 一 个 事件 应 该 促 发 进一步 的 调查 。 如 果 没 有 计划 移动 或 拆除 该 设备 ， 
或 出 现 该 子 网 上 其 他 设备 不 存在 网 络 问题 ， 那 么 该 设备 可 能 遇 到 了 一 次 中 断 ， 可 能 正 
在 重新 启动 ， 可 能 被 移动 或 断 开 了 ， 或 可 能 已 经 被 重新 编 址 。 如 果 该 服务 器 正在 提供 
关键 性 的 服务 或 应 用 ,希望 的 情况 是 ， 您 正在 通过 一 个 网 络 管理 系统 监测 它 的 状 
态 ， 这 种 系统 可 证 实 停机 推测 ， 并 触发 正确 的 动作 。 如 果 在 下 一 次 尝试 中 发 现 了 该 
IP 地 址 ， 也 许 它 只 是 简单 地 重新 启动 。 如 果 在 接 下 来 的 n 次 尝试 中 ， 它 都 没有 做 出 
响应 ， 也 许 它 物理 上 已 经 不 再 处 在 那儿 了 (或 至 少 从 电气 角度 已 经 不 在 那儿 ) 。 不 幸 
的 是 ， 人 们 并 不 总 是 会 通知 IP 规划 团队 ， 一 台 设 备 已 经 被 拆除 或 移动 到 了 其 他 地 方 ， 
即使 在 最 严格 的 组 织 机 构 中 也 是 如 此 。 一 个 快速 的 电话 打 到 站 点 ， 检 查 该 设备 的 状 
态 ， 这 种 做 法 可 能 证 明 是 成 果 显 著 的 ， 但 要 确定 设备 的 “主人 ”来 验证 状态 的 过 程 ， 
经 常 是 困难 的 和 耗 时 的 。 

不 过 ,评估 该 设备 可 能 命运 的 关键 点 是 ， 可 能 需要 多 次 发 现 尝试 ， 来 确定 一 台 设 
备 是 在 那里 还 是 已 经 不 再 了 ， 是 遇 到 了 一 次 临时 停机 或 断 开 ， 或 被 借 走 了 但 现在 已 经 
还 回来 了 。 跟 踪 连 续 发 生 的 发 现 尝试 可 能 是 困难 的 。 一 个 运行 日 志 或 表格 可 被 用 来 对 
差异 或 “消失 的 ”IP 地 址 〈 当 它们 被 检测 到 [或 不 被 检测 到 ] 时 ) 作 日 志 记 录 。 随 
时 间 不 同 ， 检 查 这 个 日 志 ， 可 帮助 确定 被 记录 为 在 使 用 的 一 个 P 地址 实际 上 并 没有 
被 使 用 的 情况 。 

在 检查 这 样 的 一 个 日 志 时 ， 如 果 一 个 给 定 P 地 址 直到 一 个 月 前 ， 还 被 成 功 发 现 ， 
当时 它 是 可 达 的 ， 但 在 如 此 多 的 尝试 〈 比 如 30 次 ) 之 后 , 不 可 达 了 ， 则 可 确认 该 地 
址 可 用 于 未 来 的 指派 ， 或 确认 它 是 可 回收 的 。 回 收 的 概念 涉及 识别 IP Hh, Æ IP i 
单 中 被 表示 为 正在 使 用 ， 但 事实 上 没有 被 用 ， 或 在 最 近 过 去 没有 被 用 。 分 析 多 种 发 现 
结果 的 做 法 ， 提 供 了 一 种 比较 可 靠 的 样本 集合 ， 在 其 上 可 做 出 一 次 回收 决策 ， 本 质 上 
是 从 清单 中 删除 该 设备 ， 并 释放 地 址 ， 可 指派 给 另 一 台 设 备 。 

除了 对 从 IP 清单 中 删除 一 台 设备 提供 可 靠 确 认 外 ， 回 收 也 可 类 似 地 施用 于 子 网 。 


O RMRKMS E— A DHCP 或 DNS 服务 器 ， 则 可 通过 IP 管理 系统 进行 监测 。 
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当 删 除 一 个 子 网 时 ， 一 般 来 说 ， 建 议 验证 所 有 地 址 占用 都 被 删除 ， 并 在 该 子 网 上 不 再 
EH IP 地址” 。 分 析 一 个 给 定子 网 上 来 自 所 有 地 址 的 发 现 结果 ， 可 提供 该 子 网 已 被 删 
除 的 确认 保障 。 但 像 IP 地 址 回收 一 样 ， 多 个 样本 集合 可 提供 可 回收 处 理 的 更 可 靠 的 
确认 。 仅 需要 牢记 的 是 ， 在 一 个 子 网 上 您 将 很 罕见 地 看 不 到 响应 ， 至 少 在 一 个 路 由 器 
接口 上 仍然 配 有 地 址 ， 所 以 您 需要 检查 后 续 的 发 现 结果 ， 忽 略 路 由 器 、 交 换 机 ， 也 许 
还 有 其 他 设备 类 型 。 


14.6 性 能 管理 


性 能 管理 涉及 IP 管理 系统 功能 的 监测 ， 更 重要 的 是 ,运行 在 网 络 中 DHCP 和 DNS 
服务 器 的 监测 。 跟 踪 基 本 的 服务 器 统计 信息 ， 例 如 CPU 利用 率 、 内 存 、 磁 盘 和 网 络 接 
口 输入 /输出 (0)， 是 有 用 的 。 这 样 的 监测 ， 使 跟踪 硬件 支持 运行 在 服务 器 上 DHCP 
和 DNS (和 任何 其 他 服务 ) 的 能 力 成 为 可 能 。 在 这 方面 的 趋势 分 析 ， 在 支持 未 来 硬件 
采购 的 先 验 规划 方面 也 是 有 益 的 ， 目 的 是 支持 在 多 台 服 务 器 间 的 负载 均衡 分 布 。 


14.6.1 服务 监测 


对 DNS 服务 的 监测 ， 有 助 于 确保 充分 的 DNS 能 力 来 满足 名 字 解 析 的 需求 ， 并 有 
助 于 识别 任何 意外 条 件 。BIND 支持 将 各 种 事件 类 型 灵活 地 记录 日 志 到 一 个 可 配置 的 
输出 目的 地 或 通道 ， 包 括 syslog. file, null BX stderr (操作 系统 的 标准 错误 输出 目的 
地 ) 。 微 软 支持 DNS 服务 器 事件 查看 器 ， 带 有 可 设置 的 严重 性 等 级 报告 以 及 接收 到 的 
总 查询 数 / 秒 和 发 送 的 响应 数 / 秒 等 统计 计数 。DHCP 服务 器 类 似 地 提供 监测 总 体 服务 
健康 程度 和 统计 的 日 志 记 录 ， 典 型 地 记录 到 一 个 日 志文 件 、syslog 或 一 个 事件 日 志 。 

这 些 措 施 支 持 从 服务 器 视角 的 性 能 数据 收集 。 但 是 ， 这 些 措施 并 不 像 DHCP 客户 
端 和 DNS 解析 器 所 经 历 的 那样 传递 服务 性 能 。 测 量 客户 端 性 能 ， 要 求 远 程 发 出 一 条 
DNS 查询 或 DHCPDISCOVER (或 SOLICIT) 报 文 ， 并 测量 接收 到 一 条 正确 响应 的 响 
应 时 间 ” 。 这 种 远程 发 出 报 文 的 做 法 ， 可 能 源 自 于 部 署 于 各 种 位 置 的 服务 探 针 
(probe), ， 可 产生 这 些 “ 合 成 的 事务 ”， 由 探 针 测量 并 存储 响应 时 间 结 果 。 对 来 自 不 
同 探 针 的 历史 数据 的 分 析 ， 可 提供 对 DNS/DHCP 服务 和 网 络 性 能 的 敏锐 理解 。 


14.6.2 地址 容量 管理 


总 体 下 地 址 容量 监测 ， 是 IPAM 范围 内 另 一 项 关键 的 性 能 管理 功能 。 对 人 工 编 址 
设备 和 通过 DHCP 得 到 地 址 的 那些 设备 的 地 址 利用 率 ， 进 行 跟踪 ， 可 支持 地 址 空间 的 
先 验 管理 。 地 址 管理 最 初 是 依据 估计 预测 的 ， 人 们 和 希望 它 是 准确 的 。 但 是 ， 即 使 在 预 
测 是 完美 情况 下 ， 由 于 雇员 调动 、 大 型 事件 、 订 户 增长 以 及 未 规划 的 地 址 需求 等 导致 


O 忽略 路 由 器 卫 地 址 占用 ， 原 因 是 典型 情况 下 路 由 器 在 子 网 上 进行 自我 识别 。 
O 如 在 故障 管理 节 所 提 到 的 ， 一 条 响应 的 缺 位 ， 可 能 表明 一 次 服务 停机 ， 如 果 持 续 出 现 这 种 情况 的 
话 ， 就 应 该 进行 调查 。 
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的 IP 网 络 动态 性 ， 可 消耗 一 个 子 网 及 其 地 址 池 的 整个 容量 。 对 地 址 池 和 子 网 利用 率 
水 平 的 周期 性 监测 ， 以 及 历史 跟踪 和 趋势 分 析 ， 可 提供 容量 耗竭 的 预先 告警 ， 触 发 补 
偿 性 的 分 配 ， 以 便 在 容量 用 光 之 前 扩展 容量 。 

许多 DHCP 服务 器 产品 支持 对 地 址 租 任 水平 进行 监测 ， 采 用 的 是 命令 行 、 脚 本 或 
SNMP 方法 。 微 软 DHCP 也 提供 通用 的 90% BM EL, Gn AR — 7 Hh Yh 3 Bl] 90% 容 
量 ， 就 提供 通知 。 其 他 服务 器 和 IP E ER E HE PE A S De A 
用 。 由 一 个 IP 管理 或 网 络 监测 系统 进行 通知 ， 通 常 比 起 尝试 访问 网 络 的 暴怒 顾客 或 
端 用 户 进 行 通知 而 言 ， 要 好 得 多 。 


14. 6.3 审计 和 报告 


一 般 而 言 ， 多 数 管理 系统 提供 某 种 程度 的 “ 谁 在 做 什么 ”的 审计 和 不 同等 级 的 
告 。 这 些 功 能 ， 就 和 被 分 类 在 记 账 管理 之 下 一 样 容易 ， 使 管理 员 可 跟踪 并 排查 活 
动 ， 并 以 报告 形式 传递 状态 信息 。 当 对 一 个 网 络 问 题 排 错 ， 或 调查 可 能 的 违规 活动 
时 ， 对 IP 地 址 使 用 情况 的 审计 ( 即 谁 在 某 个 时 间 点 拥有 一 个 给 定 的 了 P 地 址 ) ， 是 有 
价值 的 信息 。 类 似 地 ， 如 果 您 尝试 跟踪 一 台 给 定 设备 的 地 址 占用 历史 ,那么 按照 
硬件 地 址 进行 报告 也 是 有 益 的 。 
除非 对 于 最 小 型 的 网 络 ， 否 则 在 没有 一 个 IP 管理 系统 的 情况 下 ， 实 施 这 样 的 审 
计 可 能 是 困难 的 。 重 复 地 对 DHCP 租赁 数据 进行 导出 (dump) ， 以 便 跟 踪 随 时 间 消 失 
而 发 生 的 动态 编 址 客户 端的 做 法 ， 是 必要 的 。 对 一 个 给 定 IP 地 址 搜索 的 能 力 ， 要 求 
访问 单一 〈 或 者 采用 故障 切换 或 事实 上 分 割地 址 范围 的 话 ， 就 是 两 台 ) DHCP 服务 器 
的 地 址 租赁 历史 ， 而 依据 硬件 地 址 进行 搜索 ， 则 在 所 有 DHCP 服务 器 间 进行 搜索 就 成 
为 必要 的 ， 这 里 假定 了 设备 是 能 够 移动 的 。 
对 IP 地 址 规划 有 用 的 常见 报告 包括 如 下 内 容 ， 虽然 您 的 系统 可 提供 不 同 的 或 附 


加 的 报告 。 

(1) 地 址 利用 率 报告 。 按 照 地 址 池 、 子 网 、 地 址 块 进行 报告 ， 是 按照 层次 结构 
逐 层 报告 的 。 

(2) 地 址 指派 报告 。 依 据 子 网 或 地 址 块 方式 ， 对 指派 地 址 的 摘要 ， 为 当前 快照 
和 /或 历史 情况 。 


(3) 地 址 差异 报告 。 重 点 突出 IP 清单 和 所 发 现 IP 地 址 信息 之 间 的 差异 。 

(4) DHCP 性 能 报告 。 依 据 类 型 的 DHCP 消息 的 摘要 和 细节 ， 和 /或 客户 端 和 服 
务 器 主要 的 指标 摘要 。 

(5) DNS 性 能 报告 。 依 据 类 型 、 查 询 器 、 问 题 等 的 摘要 和 细节 ， 以 及 服务 器 主 
要 指标 摘要 。 

(6) 审计 报告 。 依 据 子 网 、IP 地 址 、 硬 件 地 址 、 资 源 记录 、 服 务 器 等 的 管理 员 
活动 。 
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14.7 安全 管理 


数 个 了 PP 管理 厂商 已 经 尝试 加 入 “NAC” 事 业 , fF IP HRA BRE IP 地 址 指派 仅 限 
制 到 有 效 的 设备 或 用 户 ， 这 是 由 DHCP MAC 地 址 过 滤 或 用 户 登 录 确 定 的 。 如 果 一 台 
设备 或 用 户 多 次 尝试 失败 ， 那 么 这 种 解决 方案 需要 提供 意外 报告 ， 理 想 情况 下 提供 告 
警 。 一 次 失败 的 访问 尝试 可 能 归咎 于 错误 输入 ， 但 数 次 失败 可 能 表明 ， 一 名 攻击 者 正 
在 破解 系统 以 便 访问 网 络 。 当 然 ， 如 果 该 攻击 者 知道 子 网 地 址 ， 他 /她 可 手工 地 配置 
一 个 IP 地 址 来 访问 网 络 ， 旁 路 掉 DHCP。 在 第 8 章 中 已 经 和 其 他 方法 一 起 ， 详 细 讨 论 
了 这 个 过 程 。 

第 8 章 、 第 12 章 和 第 13 章 分 别处 理 DHCP 和 DNS 服务 器 信息 的 安全 保障 以 及 与 
. 这 两 种 服务 器 的 事务 过 程 安全 保障 。 保 障 IP 清单 以 及 DHCP 和 DNS 配置 数据 的 安全 
也 是 重要 的 ， 原因 是 这 种 信息 是 至 关 重 要 的 ， 并 应 该 保护 它 使 之 不 受 蓄意 破坏 。 保 护 
IP 数据 ， 要 求 管理 员 访 问 控制 ， 至 少 要 支持 对 信息 的 口令 保护 访问 。 如 果 您 的 组 织 
机 构 有 两 个 或 三 个 以 上 的 管理 员 ， 那 么 通过 使 用 一 个 IP 管理 系统 ， 可 确保 使 用 一 种 
比较 复杂 的 管理 员 安 全 方法 。 多 数 系统 采取 的 措施 远 不 止 最低 限 度 的 口令 项 ， 它 们 支 
持 依 据 系 统 功能 、 依 据 网 络 部 分 或 某 些 单元 、 依 据 访 问 类 型 (比如 ) ， 将 管理 员 访 问 
限制 为 超级 用 户 、 只 读 访问 以 及 其 他 权限 。 访 问 控制 的 复杂 性 将 受到 管理 员 数 、 管 理 
员 的 角色 和 职责 以 及 组 织 机 构 的 安全 策略 的 驱动 和 影响 。 


14.8 灾难 恢复 /商务 持续 性 


商务 持续 性 实践 ， 在 面临 一 次 重大 的 停机 时 ， 寻 求 维护 企业 的 运作 。 一 次 大 型 停 
机 或 “灾难 ”意味 着 远 多 于 数 台 服务 器 或 网 络 设备 的 大 规模 停机 和 运转。 必须 提前 记 
录 归 档 自动 化 的 和 人 工 过 程 ， 是 为 了 维护 网 络 和 应 用 的 运行 ， 或 至 少 是 关键 服务 和 应 
用 的 运行 ， 需 要 重新 配置 或 重新 部 署 资源 。 在 第 7 章 和 第 11 章 ， 我 们 讨论 了 部 署 和 
配置 元 余 DNS 和 DHCP 服务 的 各 种 方法 。 一 旦 部 署 和 配置 ， 在 出 现 个 体 服 务 停机 时 ， 
元 余 功 能 应 该 提供 网 络 服务 持续 性 。 在 这 些 技术 之 上 ，DHCP 和 DNS 仪器 设备 的 部 署 
应 该 提供 一 个 附加 的 可 用 性 层 。 典 型 情况 下 ， 虽 然 这 提供 站 点 内 硬件 元 余 ， 但 这 种 模 
型 通常 情况 下 并 不 被 看 做 灾难 恢复 解决 方案 ， 原 因 是 这 种 模型 要 求 处 于 相同 位 置 。 不 
过 ,仪器 设备 元 余 提 供 可 靠 的 元 余 选 择 ， 特 别 对 于 关键 的 服务 器 (例如 主 DNS 服务 
器 ) 尤其 如 此 。 

IPAM 运行 的 商务 可 持续 性 ， 将 可 能 要 求 部 署 多 个 IPAM 数据 库 。 多 个 活路 的 数 
据 库 或 主 / 备 份 配置 的 部 署 将 取决 于 您 所 选中 的 厂商 。 各 厂商 实现 各 种 方法 ， 以 便 实 
AIR (如 全 数据 库 拷贝 和 传递 ， 多 个 主 数据 库 (要 求 某 种 程度 的 网 络 分 隔 )) 到 数 
据 库 复制 技术 的 部 署 ， 其 中 使 用 存储 区 域 网 络 或 SQL BR LDAP 复制 能 力 。 实 施 一 次 灾 
难 恢复 所 要 求 的 操作 任务 ， 将 可 能 随 厂 商 而 不 同 。 

对 厂商 灾难 恢复 能 力 的 评估 ， 将 取决 于 您 的 商务 目标 、 预 算 和 策略 (polices), 
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但 应 该 考虑 三 个 关键 问题 。 

(1) IPAM 数据 库 涉及 名 字 解 析 或 地 址 指派 吗 ? 例如 ,一些 系 统 将 来 自 DHCP 的 
动态 更 新 ， 路 由 到 DNS 之 前 ,首先 路 由 到 IPAM 数据 库 ， 进 行 唯一 性 检查 。 如 采 
IPAM 数据 库 处 在 这 样 的 一 个 “关键 路 径 ” 中 ,那么 元 余 和 高 可 用 性 就 是 极端 重 
要 的 。 

(2) 您 的 管理 员 们 对 IPAM 数据 做 出 改变 的 频率 有 多 频繁 ? 改变 的 速率 越 高 ， 则 
在 主 数据 库 和 备份 数据 库 (可 能 是 多 个 ) 之 间 的 两 次 数据 同步 间 ， 可 能 丢失 的 数据 
就 越 多 。 在 改变 不 太 频 繁 的 情况 下 ， 每 天 进行 数据 库 备 份 就 是 一 种 可 接受 的 方案 ， 而 
对 于 高 改变 频率 的 环境 ， 可 能 要 求 小 于 一 天 的 或 事务 级 复制 过 程 。 

(3) 实施 备份 系统 触发 的 过 程 是 什么 ? 一 些 厂商 提供 一 个 相对 简单 的 回复 过 程 ， 
而 其 他 厂商 则 要 求 更 多 的 人 工 介 入 。 考 虑 到 一 次 灾难 恢复 故障 切换 的 广泛 影响 ， 人 们 
也 许 期 望 某 种 较 小 程度 的 人 工 介 入 。 间 歌 性 的 问题 可 能 导致 假 阳 性 (false positives) 
结果 和 潜在 的 突然 的 故障 切换 ， 所 以 人 工地 启动 故障 切换 ， 可 能 会 消除 由 解决 方案 所 
导致 的 灾难 。 人 们 和 希望， 如 果 不 会 永 不 发 生 ， 那 么 灾难 也 是 不 频繁 发 生 的 ， 但 当 需 要 
故障 切换 时 ， 也 应 该 在 策略 所 定义 的 时 间 约 束 内 由 员工 手工 地 执行 故障 切换 过 程 。 

这 些 基 本 问题 是 相互 依赖 的 。 如 果 问 题 1 和 问题 2 的 答案 分 别 是 “是 ”和 “ 频 
繁 的 "， 那 么 问题 3 的 答案 也 许 是 “ 单 步骤 的 ”或 至 少 是 “非常 高 效 的 ”。 


14.9 ITIL 过 程 映射 


IT 基础 设施 库 是 期 望 管理 、 监 测 ， 并 持续 改善 企业 组 织 所 提供 IT 服务 质量 的 
一 个 开 组 织 机 构 所 用 的 最 佳 实践 文档 集合 。ITIL 是 由 英国 商务 部 (U. K Office of Gov- 
ernment and Commerce) 开发 的 ， 其 面向 IT 服务 的 方法 已 经 由 许多 组 织 机 构 进行 部 署 
实施 。ITIL 实现 的 最 常见 驱动 因素 包括 以 下 内 容 。 

1) IT 服务 交付 到 组 织 机 构 的 成 本 降低 。 

2) 通过 潜在 的 影响 服务 变更 的 有 纪律 性 的 规划 和 评估 ， 进 行 风险 管理 。 

3) IT 服务 水 平一 致 性 和 改善 。 

4) 利用 有 文档 记录 的 过 程 和 持续 改进 ， 所 得 到 的 效率 。 

在 这 些 过 程 域 中 的 许多 功能 是 等 同 的 或 类 似 于 前 面 章 节 中 讨论 的 那些 功能 ， 所 以 
我 们 将 在 其 ITIL 过 程 域 的 对 应 映射 中 简单 地 总 结 描述 这 些 功 能 。 


14.9.1 ITIL 过 程 域 


ITIL 过 程 分 为 两 个 域 : 服务 交付 和 服务 支持 。 服 务 交 付 涉及 IT 服务 的 规划 、 开 
发 和 部 署 ， 而 服务 支持 包括 管理 服务 水 平和 支持 中 的 各 项 服务 操作 。 服 务 台 (service 
desk) 是 第 三 方 过 程 域 ， 它 将 服务 交付 和 服务 支持 进行 集成 ， 向 组 织 机 构 的 其 他 部 门 





© 在 ITI 网 站 http: //www. itil -~ officialsite. com/home/home. asp[168] 可 找到 细节 。 本 节 中 的 功能 
映射 依据 的 是 参考 文献 [174] 中 最 初 讨论 的 那些 内 容 。 
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提供 开 的 一 个 统一 的 接口 。ITIL 版 本 3 构建 于 这 些 过 程 集 之 上 ， 带 有 一 些 添 加 内 容 
和 功能 分 割 。 

(1) 服务 交付 。 服 务 水 平 管理 是 一 个 服务 交付 过 程 域 ， 它 包括 IT 组织 机 构 所 提 
供 各 种 服务 的 服务 水 平 规范 。 这 与 服务 水 平 协议 (合同 ) 相近 。 服 务 水 平 管理 也 包 
括 依据 这 些 规 范 进 行 服务 交付 的 度量 ， 以 便 监 测 与 IT 所 提供 服务 水 平 的 吻合 性 ， 并 
测量 服务 水 平 。 

从 一 个 IPAM 角度 看 ， 服 务 水 平 管 理 可 能 涉及 服务 水 平 的 定义 和 度量 ， 这 些 服 
务 是 提供 给 请 求 IPAM 有 关 服 务 的 那些 实体 ,不管 它 是 请 求 一 个 IP 地 址 的 端 用 户 
或 需要 开设 一 个 新 的 零售 办 事 处 的 商务 实体 。 将 这 些 请 求 中 的 端 用 户 或 商务 实体 
看 作 顾 客 ， 这 个 过 程 寻求 测定 服务 交付 是 否 满足 确定 的 服务 水 平 ， 例 如 这 些 请 求 
完成 的 及 时 性 。 使 IPAM 有 关 的 服务 交付 自动 化 ,不 管 是 仅 有 IPAM 发 挥 影响 或 涉 
及 IPAM 作为 一 个 较 大 型 IT 服务 的 组 成 部 分 (例如 VoIP 部 署 ) ， 都 有 助 于 及 时 的 
和 准确 的 服务 交付 。 一 个 范例 度量 指标 是 时 间 帧 ， 据 此 可 指派 一 个 子 网 或 一 个 IP 
地 址 。 

财务 管理 自然 地 包括 记 账 ， 这 类 似 于 FCAPS 模型 中 的 记 账 管理 ， 虽 然 财务 管理 
域 处 理 的 是 实际 的 金钱 (dollars and cents as well) 。 这 个 过 程 域 也 处 理 在 一 个 IT 资金 
或 成 本 分 配 模型 中 某 些 部 分 的 任何 回 冲 (chargebacks) 或 成 本 分 配 。 

一 些 公 司 确 实 实 施 IP 地 址 使 用 情况 的 成 本 回 冲 (chargeback) 。 在 这 样 的 场景 
下 ， 财 务 管理 过 程 将 需要 记录 跟踪 IP 地 址 使 用 情况 以 及 相应 的 用 户 和 可 收费 的 实 
体 〈 倒 如 部 门 ) 。 取 决 于 计 费 或 回 冲 (chargeback) 周期 ， 这 种 IP 地 址 使 用 信息 将 
需要 针对 当前 周期 进行 存储 ， 可 能 存储 更 长 时 间 ， 目 的 是 支持 归档 或 争议 解决 。 
在 证 明成 本 分 配合 理性 方面 ， 您 的 IPAM 系统 中 的 审计 和 历史 数据 ， 也 可 能 是 一 项 
巨大 帮助 。 

容量 管理 简单 地 涉及 确保 正确 类 型 的 充足 开 资源 ， 可 用 于 商务 实体 来 实施 它 的 
工作 。 考 虑 将 这 种 概念 应 用 到 IPAM ， 当 然 IP 地 址 容量 管理 会 出 现在 脑海 中 ， 但 人 们 
也 应 该 考虑 DHCP 和 DNS 服务 器 负载 容量 。 在 前 一 种 情形 中 ， 容 量 管理 要 求 监 测 地 
址 和 地 址 池 ， 以 便 为 雇员 们 得 到 一 个 地 址 并 访问 网 络 提供 足够 的 PP 地址 。 对 趋势 进 
行 监测 也 是 有 帮助 的 ， 同 时 对 于 严格 分 配 的 网 络 而 言 ， 建 议 出 现 较 低 地 址 池 时 提供 告 
警 。 当 然 ， 考 虑 到 IPv6 地 址 空间 容量 ， 在 可 预测 的 未 来 ， 对 于 IPv6 空间 这 不 太 可 能 
会 成 为 一 个 问题 。 

就 服务 器 容量 管理 而 言 ， 随 时 间 推 移 监 测 每 台 服 务 器 的 网 络 、 内 存 和 CPU 利用 
率 情况 ， 可 提供 对 服务 器 性 能 的 深 痊 理解 。 可 能 实际 上 要 求实 施 这 种 性 能 任务 ， 原 因 
是 就 事务 完成 百分比 (地 址 租赁 或 解析 ) 以 及 响应 时 间 而 言 ， 它 与 服务 水 平 管 理 是 
有 联系 的 。 不 仅 如 此 ， 服 务 器 上 的 过 量 负载 对 DNS 和 DHCP 服务 的 可 用 性 具有 有 害 
影响 ， 所 以 服务 器 监测 ， 也 许 甚 至 是 类 似 探 针 的 事务 型 监测 ， 可 提供 服务 水 平和 容量 
的 实际 测量 。 

可 用 性 管理 是 这 样 一 个 服务 交付 过 程 域 ， 它 将 焦点 放 在 确保 IT 服务 对 端 用 户 是 
可 用 的 。 高 可 用 性 ， 这 包括 DHCP 和 DNS 等 应 用 的 一 个 共同 目标 ， 要 求 宛 余 配 置 的 
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部 署 和 利用 这 些 配置 的 能 力 ， 在 面临 一 个 组 件 停机 时 提供 持续 的 服务 。 

如 在 第 7 章 和 第 11 章 所 讨论 的 ， 宛 余 仪 器 设备 的 部 署 ， 可 提供 局 部 化 的 集群 ， 
与 DHCP 故障 切换 或 分 割 范围 法 的 实施 以 及 多 服务 器 DNS 部 署 一 起 ， 提 供 一 个 附加 
的 元 余 层 。 通 过 LDAP 或 复制 的 关系 数据 库 方法 ， 宛 余 IPAM 数据 库 部 署 也 可 确保 管 
理 耳 空间 的 IPAM 应 用 的 可 用 性 。 对 每 个 这 种 元 余 组 件 可 用 性 的 监测 ， 支 持 停机 的 先 
验 性 检测 ， 以 便 有 助 于 快速 的 停机 解决 问题 (修复 的 平均 时 间 ) ， 同 时 宛 余 组 件 会 承 
担负 载 。 

持续 性 管理 与 可 用 性 管理 有 关 ， 其 中 它 处 理 以 持续 方式 提供 可 用 的 服务 。 例 如 ， 
出 现 一 次 灾难 时 ， 这 个 过 程 域 将 要 求 提前 准备 好 的 一 个 灾难 恢复 计划 。 如 在 前 面 的 商 
务 持 续 性 一 节 所 讨论 的 ， 基 于 组 织 机 构 的 关键 性 需求 和 范围 需求 ， 特 别 是 对 DHCP/ 
DNS 服务 器 和 IPAM 系统 而 言 ， 存 在 各 种 战略 措施 (strategies) 。 

(2) 服务 台 。 作 为 用 户 团 体 的 接口 ， 服 务 台 将 到 IT 组 织 机 构 的 意外 报告 、 变 更 
请 求 以 及 甚至 新 的 服务 请 求 等 的 输入 进行 过 滤 。 它 用 于 过 滤 并 将 用 户 请 求 或 问题 定向 
到 其 他 ITIL 域 中 的 任何 一 个 域 ， 为 端 用 户 提供 一 项 帮助 台 功 能 。 

组 织 机 构 的 策略 和 文化 ， 将 驱动 服务 台 实施 传统 的 “等 级 1” 支持 ( 仅 对 后 续 
步骤 的 问题 进行 日 志 记 录 )， 或 实施 较 高 支持 等 级 (直到 前 台 处 理 ， 实 施 一 定 等 级 
的 诊断 ) 。 在 等 级 1 支持 的 情形 中 ， 相 比 于 一 种 票据 (ticketing) 系统 ， 需 求 几乎 
并 不 多 什么 ,票据 系统 具有 这 样 的 能 力 ， 即 将 票据 指派 到 负责 其 他 过 程 域 的 那些 
实体 ， 这 取决 于 呼叫 者 出 现 什么 样 的 问题 。 一 个 服务 台 配 备 雇员 ， 实 施 一 些 问 题 
诊断 ， 这 将 要 求 对 状态 监测 工具 的 访问 使 用 ， 就 问题 方面 ， 尝 试 “ 看 到 呼叫 者 所 
看 到 的 ”情况 。 

对 于 IP 地 址 或 名 字 解 析 有 关 的 呼叫 ， 为 服务 台 员 工 提供 到 IP 清单 信息 的 访问 能 
力 ， 可 能 证 明 是 有 益 的 。 例 如 ， 如 果 位 于 费城 总 部 办 事 处 的 一 个 人 ,不 能 得 到 一 个 
IP 地 址 ， 服 务 台 需要 知道 总 部 的 地 址 规划 ， 以 便 将 问题 和 问题 解决 过 程 集中 到 那个 
特定 的 子 网 、 关 联 的 路 由 器 或 DHCP/DNS 服务 器 。 

服务 台 不 仅 是 问题 报告 的 接口 ， 而 且 是 变更 请 求 〈 例 如 王子 网 或 地 址 指派 ) 的 
接口 。 为 服务 台 员 工 提供 到 IPAM 系统 请 求 这 种 变更 的 基本 访问 能 力 ， 或 更 好 的 做 法 
是 ,使 端 用 户 自己 将 这 种 服务 请 求 注册 到 一 个 自动 化 的 开门 户 ,， 这 可 通过 快速 解决 
问题 (rapid fulfillment) 增加 端 用 户 对 IT 服务 的 满意 度 。 

(3) 服务 支持 。 意 外 管理 是 这 样 一 个 服务 支持 过 程 域 ， 它 涉及 跟踪 并 解决 意外 
情况 。 在 ITIL 版 本 2 中 ， 它 也 处 理 变更 请 求 ， 而 在 版 本 3 中 ， 这 些 被 分 割 成 独立 的 过 
程 域 。 如 上 面 所 描述 的 ， 服 务 台 直 接 从 端 用 户 团 体 接收 意外 和 变更 请 求 。 通 过 网 络 监 
测 ，IT 也 可 先 验 地 检测 和 排除 网 络 问题 。 不 管 一 个 给 定 意外 情况 所 采取 的 检测 方法 
为 何 ， 对 IP 清单 数据 的 访问 能 力 与 排 错 和 意外 解决 是 不 可 分 的 。 另 外 ， 以 冰 值 、 告 
警 、 记 录 日 志 信息 和 审计 等 来 监测 服务 器 状态 ， 可 提供 意外 检测 和 管理 的 一 种 良好 开 
端 做 法 (head start) 。 

服务 请 求 可 如 下 处 理 ， 即 通过 服务 台 或 IT 万 维 网 门户 发 起 服务 请 求 票据 ， 这 种 
做 法 见 服务 台 一 节 所 描述 的 内 容 。 
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问题 关联 要 求 跟踪 一 个 已 知 问题 数据 库 中 的 已 知 问题 和 解决 方案 。 例 如 ， 如 果 某 
个 人 呼叫 服务 台 ， 声 称 出 现 一 次 意外 情况 ， 可 直接 进入 问题 管理 ， 识 别 这 个 意外 在 过 
去 是 否 已 经 有 人 报告 并 得 到 解决 。 如 果 情 况 是 这 样 的 话 ， 那 么 可 遵循 确定 的 解决 路 
径 ， 快 速 地 排 错 并 解决 问题 。 

虽然 IPAM 系统 传统 上 并 不 将 问题 历史 与 解决 批注 (annotations) 存储 在 一 起 ， 
但 一 些 系 统 通过 日 志 记录 历史 和 清单 变更 审计 ， 提 供 问 题 信息 的 一 个 数据 库 。 通 过 
API 的 网 络 管理 系统 集成 ， 可 提供 问题 历史 的 一 个 整体 holistic) 视图 ， 方 法 是 采用 
API 向 一 个 问题 票据 系统 提供 IPAM 数据 (例如) 。IPAM 是 整体 网 络 或 开 服务 管理 方 
法 的 一 个 关键 组 成 部 分 ， 但 它 是 不 完备 的 ; 没有 系统 是 完备 的 。 采 用 那 种 集成 法 ， 是 
拥有 问题 管理 范围 一 个 整体 视图 的 一 把 钥匙 而 已 。 

在 ITIL 内 的 配置 管理 ， 就 识别 、 记 录 和 控制 影响 IT 服务 的 配置 参数 而 言 ， 类 似 
于 FCAPS 配置 管理 功能 。 如 我 们 在 本 章 所 大 量 讨论 的 ， 配 置 管理 功能 是 IPAM 过 程 的 
一 个 重点 关注 的 焦点 域 。 这 包括 配置 新 的 地 址 池 (从 一 个 DHCP 角度 而 言 )、 在 DNS 
中 配置 区 域 和 资源 记录 、 在 路 由 器 上 为 子 网 配置 P 地 址 ， 等 等 ， 所 有 这 些 都 落 在 配 
置 管理 的 疆域 内 。IPAM 数据 库 可 被 看 做 IT 用 于 网 络 配 置 请 求 的 CMDB 联合 体 (con- 
federation) 的 一 个 配置 管理 数据 库 (CMDB) 组 件 。 

对 于 配备 一 名 以 上 的 IPAM 管理 员 的 组 织 机 构 来 说 , 需要 考虑 实施 管理 员 控 制 ， 
以 便 确保 对 DHCP 和 DNS 配置 的 变更 是 在 合适 范围 和 许可 权 下 进行 的 。 例 如 ， 您 可 
能 想 让 管理 员 们 能 够 做 出 改变 ， 但 并 不 实际 上 在 DHCP 和 DNS 服务 器 上 部 署 这 些 改 
变 一 将 部 署 改 变 的 功能 限于 一 个 较 高 等 级 的 管理 员 。 在 后 台 (back end) ， 审 计 信 
息 是 责任 跟踪 和 报告 的 关键 。 

拥有 准确 的 下 配置 信息 是 必要 的 ， 这 可 为 可 规划 的 未 来 配置 变更 ， 提 供 一 个 坚 
实 的 基础 。 一 个 推论 性 的 需求 ， 导 致 将 那个 清单 与 网 络 实际 数据 进行 核验 的 必要 性 。 
在 一 个 表格 上 跟踪 IP 清单 是 不 错 的 ， 但 这 要 求 不 断 地 更 新 。 从 网 络 收 集 信 息 ， 并 之 
后 将 这 个 信息 与 规划 内 容 进行 比较 ， 这 种 能 力 是 非常 重要 的 。 审 计 与 清单 信息 收集 是 
同样 重要 的 。 为 服务 台 配 备 这 种 信息 ， 可 为 立即 解决 呼叫 问题 提供 坚实 的 第 一 道 防 
线 ， 或 至 少将 呼叫 快速 地 移动 通过 处 理 过 程 。 

变更 管理 提供 在 IT 基础 设施 中 实施 变更 的 控制 。 这 涉及 就 所 提 变更 的 范围 和 实 
施 时 间 方 面 ， 确 保 所 有 被 影响 的 各 方 是 一 致 的 。 就 IPAM 而 言 ， 常 见 的 情况 是 ， 变 更 
管理 的 范围 会 影响 IPAM 组 件 ， 例 如 增加 一 个 地 址 池 ， 在 网 络 中 部 署 一 台新 的 DHCP/ 
DNS 服务 器 ， 或 将 一 台 服 务 器 升级 到 一 个 新 的 软件 版 本 。 基 本 上 而 言 ， 影 响 基础 设 
施 任何 部 分 的 任何 事情 ， 无 论 是 物理 的 或 软件 的 或 甚至 是 低层 仪器 设备 的 操作 系统 ， 
都 落 在 变更 管理 过 程 之 下 ， 这 个 过 程 寻求 确保 所 有 合适 的 批准 都 就 位 ， 且 有 可 用 的 相 
应 退出 (backout) 计划 。 

发 行 管理 是 这 样 一 个 服务 支持 过 程 域 ， 它 对 硬件 和 软件 版 本 的 部 署 发 行 提供 控 
制 ， 不 仅 针对 操作 系统 ， 而 且 对 应 用 和 仪器 设备 都 是 如 此 。 这 个 过 程 域 负责 在 IT 网 
络 上 ， 那 些 版 本 是 可 得 到 的 和 可 访问 的 ， 并 确保 存在 发 行 和 版 本 的 一 个 授权 集 ， 可 被 
用 来 进行 合适 的 部 署 。 
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通过 一 个 中 心地 点 ， 对 DHCP 和 DNS 服务 器 的 发 行规 划 和 升级 管理 ， 会 是 一 种 
巨大 的 时 间 节 省 方法 〈timesaver) 。 这 种 替代 方法 要 求 操作 系统 、 补 丁 和 应 用 软件 的 
BH (on-site) 升级 是 成 本 高 昂 的 和 消耗 时 间 较 大 的 。IPAM 的 发 行 管理 也 落 在 这 个 
分 类 范围 内 。 


14.10 结论 


FCAPS 和 ITIL 是 类 似 的 ， 是 指 它们 都 提倡 带 有 严格 约束 执行 的 文档 化 的 过 程 。 
IPAM 对 一 个 组 织 机 构 的 重要 性 ， 应 该 驱动 将 FCAPS 或 ITIL 原理 应 用 到 组 织 机 构 内 的 
IPAM 实践 。 本 章 给 出 了 一 个 FCAPS 框架 上 下 文中 主要 IPAM 过 程 步骤 的 详细 视角 ， 
还 给 出 了 到 ITIL 的 一 种 建议 映射 关系 。 


B15 IPv6 部 署 和 IPv4 共存 


15.1 引言 


IPv69 最 初 是 在 20 世纪 90 年 代 中 期 规范 定义 的 ， 目 的 是 为 了 解决 弥补 快速 耗 
竭 的 IPv6 地 址 空间 的 当时 迫切 需求 。 当 时 在 定义 IPv6 (或 IPng (IP 下 一 代 ), 在 
最 初 命名 时 是 这 样 的 ) 的 工作 上 是 在 巨大 热情 中 开始 的 ， 当 时 因特网 刚刚 开始 在 
普通 公众 中 流行 。 越 来 越 多 的 企业 扩展 它们 的 内 部 网 ， 以 便 支 持 到 全 球 因特网 的 
连接 。 因 为 每 台 可 达 的 主机 都 要 求 一 个 唯一 的 公开 IPv4 地 址 ， 所 以 对 地 址 的 需求 
猛 涨 。 

这 些 事件 激发 了 IPv6 的 开发 ， 它 们 也 刺激 了 其 他 技术 的 开发 ， 这 些 技术 延长 了 
IPv4 地 址 空间 的 可 预期 寿命 。 如 我 们 在 第 1 章 所 讨论 的 ， 无 类 域 间 路 由 (CIDR) 使 
区 域 因特网 注册 机 构 和 ISP 能 够 更 加 高 效 地 分 配 地 址 空间 ， 这 是 相 比 以 前 仅 以 有 类 
(classful) 分 配方 法 而 言 的 。 

在 第 1 章 中 讨论 的 另 一 项 IPv4 分 配 策略 是 分 配 私 有 地 址 空间 ， 这 种 方法 极 大 地 
降低 了 组 织 机 构 从 RIR 或 ISP 要 求 的 地 址 空间 量 。 在 RFC 1918 中 定义 的 私有 网 络 分 
配 ， 使 每 个 组 织 机 构 能 够 为 它们 的 内 部 网 络 使 用 相同 的 地 址 空间 。 与 因特网 主机 的 通 
信 或 组 织 机 构 间 的 通信 ， 仍 然 要 求 公开 地 址 ， 但 网 络 地 址 转换 (NAT) 防火 墙 的 使 
用 ， 为 内 部 主机 访问 因特网 提供 了 私有 地 址 到 公开 地 址 的 转换 。 

人 们 可 能 会 争辩 说 ，DHCP 本 身 也 可 支持 地 址 空间 的 更 好 利用 ， 它 具有 依据 需求 
而 在 多 个 用 户 间 共享 地 址 的 能 力 。 虽 然 在 组 织 机 构 内 普遍 配置 有 私有 地 址 空间 ， 对 公 
开 地 址 空间 几乎 没有 什么 影响 ,但 DACP 也 为 宽带 和 无 线 服 务 提供 商 所 用 ， 目 的 是 支 
持 其 相应 用 户 基 数 的 因特网 访问 。 

这 些 日 益 增 长 的 用 户 基数 仍然 驱动 着 增长 的 IPv4 地 址 消耗 ， 这 削减 了 可 用 的 
容量 。 在 世界 各 地 ，IPv4 地 址 空间 的 当前 分 配 是 不 够 的 。 例 如 ， 亚 洲 被 分 配 了 大 
约 20% 的 IPv4 地 址 分 配 ， 但 却 支 持 了 世界 人 口 的 50% 。 在 IPv6 部 署 方面 ， 亚 洲 是 
领先 者 之 一 ， 之 后 紧 跟 的 是 欧洲 。 虽 然 北美 拥有 相对 充足 的 IPv4 地 址 空间 ， 但 许 
多 组 织 机 构 正在 评估 迁移 到 IPv6 的 工作 ， 特 别 政府 和 服务 提供 商 组 织 热心 这 种 
活动 。 

当 我 们 讨论 IPv6 “迁移 ”时 ， 我 们 指 的 是 仅 支 持 IPv4 网 络 的 一 个 初始 状态 ， 随 
时 间 添 加 了 或 重 载 了 IPv6 节点 和 网 络 ， 得 到 一 个 仅 支 持 IPv6 的 网 络 ， 或 在 多 数 情形 
中 更 可 能 的 是 ， 一 个 普遍 存在 的 IPv6 网 络 带 有 持续 的 IPv4 支持 。 


日 ”本 章 中 的 材料 依据 的 是 参考 文献 [11] 的 第 8 章 和 参考 文献 [147], 但 增加 了 更 多 细节 。 
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15.1.1 为 什么 要 实现 IPv6 


{E 2007 年 5 月 22 日 ,美国 因特网 地 址 注册 机 构 〈(ARIN 一 一 RIR 之 一 ) 委员 会 发 
出 一 份 公开 声明 “建议 迁移 到 IPv6 编 址 资源 的 因特网 团体 ， 要求 从 ARIN 得 到 连续 
IP 号 码 资源 未 来 可 用 性 的 任何 应 用 ， 是 一 个 必要 过 程 ”。 这 本 质 上 声明 ，IPv4 编 址 资 
源 (包括 IPv4 地 址 ) 正在 变 得 日 益 稀缺 ， 随 着 时 间 推 移 而 要 求 附 加 地 址 的 实体 
(LIR、ISP) ， 需 要 计划 IPv6。 所 有 RR 也 发 表 过 类 似 声 明 。 一 些 估计 预测 在 大 约 
2012 年 左右 RIR 层次 会 发 生 IPv4 空间 耗 尽 >。 事 实 上 ，APNIC 的 Geoff Huston 博士 在 
www. potaroo. net/tools/ipv4 发 布 了 有 启发 作用 的 分 析 ， 是 每 天 都 更 新 的 ， 提 供 了 这 些 
翡 观 预测 的 证 据 。 

在 2012 年 IPv4 空间 的 这 种 最 终 分 配 到 来 时 ， 或 无 论 何 时 发 生 这 种 情况 时 ，ISP 
们 将 仍然 有 地 址 空间 可 分 配 ; 由 一 个 RIR 所 分 配 的 最 后 一 个 地 址 块 将 耗 尽 RIR 空间 ， 
但 这 个 已 分 配 的 ISP 地 址 块 仍然 可 用 于 ISP 分 配 。 当 ISP 客户 基数 完全 消耗 掉 他 们 的 
可 分 配 空间 时 ，ISP 空间 将 耗竭 ， 在 这 之 后 将 需要 一 年 左右 的 时 间 。 没 有 提交 请 求 P 
地 址 而 且 在 可 预见 的 将 来 没有 计划 提交 请 求 的 企业 ， 可 能 得 出 结论 ，IPv6 将 不 会 影 
响 到 他 们 。 但 在 这 个 时 间 点 ， 仅 有 IPv6 空间 可 用 的 情况 下 ， 新 的 ISP 或 寻求 扩展 地 址 
空间 的 组 织 机 构 ， 将 为 端 用 户 生 成 仅 有 IPv6 连通 的 情形 。 随 着 这 种 仅 支持 IPv6 用 户 
群 的 增长 ， 这 将 驱使 仅 支持 IPv4 的 组 织 机 构 在 外 部 (面向 因特网 ) 万 维 网 、 电 子 邮 
件 和 其 他 公开 服务 器 上 实现 IPv6。 

另外 ， 像 许多 IP 网 络 变 化 (例如 由 在 组 织 机 构 内 采用 无 线 和 PDA 的 那些 变化 ) 
一 样 ，IPv6 最 终 将 会 由 通过 下 一 代 蜂 窝 电话 、PDA 连接 到 网 络 的 雇员 或 甚至 通过 网 
络 或 家 庭 连接 的 Windows Vista (或 Windows 7) 得 到 推广 使 用 。 在 这 种 情形 下 ， 管 理 
IPv6 地 址 空间 的 需求 会 强加 到 IT 管理 员 身 上 。 无 论 是 由 外 部 仅 支持 IPv6 的 用 户 还 是 
内 部 用 户 所 驱动 的 ， 现 在 就 提前 针对 IPv6 做 出 计划 ， 就 是 比较 深 谋 远虑 的 做 法 ， 无 
论 您 计划 完全 地 迁移 您 的 网 络 ， 或 计划 处 理 尝试 连接 的 个 体 IPv6 设备 ， 都 是 如 此 。 
许多 服务 提供 商 已 经 稳步 踏 上 了 在 其 IP 网 络 上 迈 向 IPv6 部 署 的 道路 。 


15.1.2 IPv4-IPv6 共存 技术 


存在 许多 种 技术 ， 可 便利 设备 迁移 到 IPv6。 因 为 “迁移 ”将 可 能 是 一 个 非常 漫 
长 的 过 程 ， 所 以 我 们 使 用 术语 “共存 ”来 体现 这 种 情况 。 我 们 将 依据 如 下 基本 分 类 ， 
讨论 这 些 方 法 。 

(1) 双 栈 。 在 网 络 设 备 上 同时 支持 IPv4 和 IPv6。 

(2) 隧道 。 在 一 个 IPv4 网 络 上 进行 传输 时 ， 将 一 条 IPv6 报 文 封装 在 一 条 IPv4 报 
文 ; 或 相反 的 情况 亦 然 。 

(3) 转换 。 卫 首部、 地址 和 /或 端口 转换 ， 例 如 有 网 关 或 NAT 设备 所 实施 的 那 


O ”虽然 人 们 可 从 这 个 分 析 中 推测 IPv4 地 址 空间 耗 尽 的 日 期 ， 但 Huston 博士 分 析 的 意图 更 多 地 将 焦点 
放 在 识别 何 时 RIR 策略 才能 到 位 ， 来 处 理 管理 IPv4 地 址 资源 的 新 RIR 角色 。 
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些 功能 。 

所 选中 的 策略 要 求 如 下 方面 的 有 效 协同 。 

(1) IPv4 和 IPv6 网 络 及 子 网 分 配 ， 无 论 是 现 有 的 还 是 计划 中 的 。 

(2) 验证 网 络 基础 设施 和 应 用 是 与 IPv6 兼容 的 。 

G) 对 于 期 望 的 隧道 法 或 转换 法 ，DNS 资源 记录 配置 对 应 于 合适 的 名 字 到 地 址 
(可 能 是 多 个 ) 解析 。 

(4) 在 合适 的 情况 下 ， 对 所 选中 隧道 模式 的 兼容 客户 端 / 主 机 和 路 由 器 支持 。 

(5) 在 合适 的 情况 下 ， 部 署 转换 网 关 (可 能 是 多 个 )。 

在 本 章 后 面 ， 针 对 服务 提供 商 和 企业 ， 给 出 范例 IPv6 实现 场景 ， 但 首先 让 我 们 
讨论 关键 的 共存 技术 。 


15.2 MRAZ 


双 栈 方法 是 这 样 组 成 的 ， 在 要 求 访 问 两 种 网 络 层 技术 的 设备 上 ， 实 现 IPv4 和 
IPv6 协议 ， 这 些 设 备 包括 路 由 器 、 其 他 基础 设施 设备 、 应 用 服务 器 和 端 用 户 设 备 。 这 
样 的 设备 将 配置 有 IPv4 地 址 和 IPv6 地 址 ， 且 它们 可 通过 为 相应 协议 定义 的 方法 〈 由 
管理 员 激 活 ) 来 得 到 这 些 地 址 。 例 如 ， 一 个 IPv4 地 址 可 能 是 通过 DHCPv4 得 到 的 ， 
而 IPv6 地 址 可 能 是 自动 配置 的 。 

就 协议 栈 的 范围 而 言 ， 实 现 可 随 双 栈 方法 而 发 生变 化 ， 协 议 栈 是 共享 的 或 对 每 个 
IP 版 本 是 不 同 的 。 理 想 情 况 下 ， 仅 有 网 络 层 是 双 份 的 〈dualized) ， 使 用 共同 的 应 用 、 
传输 和 数据 链 路 层 。 这 是 微软 Vista 和 微软 7 中 实现 的 方法 ,这 与 XP 实现 是 相反 的 ， 
后 者 利用 双 份 的 传输 层 和 网 络 层 ， 这 在 一 些 情形 中 ， 要 求 进行 每 个 栈 的 元 余 配 置 。 其 
他 的 方法 可 能 跨越 整个 栈 ， 直 到 物理 层 ， 都 要 求 对 IPv6 和 IPv4 使 用 独立 的 网 络 接口 。 
这 种 方法 ， 虽 然 与 一 种 分 层 模 型 的 益处 相对 ， 可 能 是 有 意 而 为 且 甚 至 是 人 们 所 期 户 
的 ， 特 别 在 网 络 服务 器 带 有 多 种 应 用 或 服务 的 情况 下 尤其 如 此 ， 其 中 一 些 应 用 或 服务 
可 能 是 有 意 地 仅 支 持 一 个 版 本 或 另 一 个 版 本 。 


15.2.1 部 署 


部 署 共享 共同 的 物理 网 络 接口 的 双 栈 设备 ， 意 味 着 在 同一 物理 链 路 之 上 同时 运行 
IPv4 和 IPv6。 毕 竟 ， 幸 亏 由 于 协议 分 层 ， 以 太 网 和 其 他 层 2 技术 才 可 支持 IPv4 或 
IPv6 净 荷 。 双 栈 设 备 要 求 支持 这 种 链 路 的 路 由 器 也 是 双 栈 的 。 在 转换 过 程 中 ， 人 们 
预期 这 种 重 释 方法 是 非常 普遍 的 ， 并 如 图 15-1 所 示 。 这 个 图 可 扩展 到 一 个 物理 LAN 
之 外 ， 扩 展 到 一 个 多 跳 网 络 ， 其 中 路 由 器 支持 IPv4 和 IPv6， 并 在 纯粹 IPv4 主机 间 路 
由 ， 在 支持 IPv6 的 主机 间 路 由 IPv6 报 文 。 

虽然 通常 情况 下 ， 人 们 预料 路 由 器 将 是 被 升级 支持 两 种 协议 的 首 批 IP 网 元 , 但 
RFC 4554" 1 是 一 个 信息 型 的 RFC， 其 中 描述 使 用 VLAN 的 一 种 创新 方法 ， 在 不 要 求 
立即 升级 路 由 器 的 条 件 下 ， 支 持 一 种 重 释 配置 。 这 种 方法 依赖 于 VLAN 标签 使 层 2 
交换 机 能 够 广播 或 捆绑 传输 (trunk) 包含 IPv6 净 荷 的 以 太 网 帧 ， 传 输 到 一 台 或 多 台 
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支持 IPv6 的 路 由 器 。 通 过 将 一 台 路 由 器 升级 来 支持 IPv6， 例 如 到 一 个 IPv6 网 络 的 网 
K, 那么 交换 机 接口 被 连接 到 的 路 由 器 接口 ， 可 配置 为 “IPv6 VLAN”。 之 后 其 他 
IPv6 或 双 栈 设备 可 配置 为 IPv6 VLAN 的 成 员 ， 且 多 个 这 样 的 VLAN 可 进行 类 似 配 置 。 
这 种 部 署 的 一 个 例子 如 图 15-2 所 示 。 


物理 视图 


» 


纯粹 IPv4 prt 纯粹 IPv6 








逻辑 视图 Ipv4 协 议 


IPv6 协 议 
Fe nee 








路 由 器 


纯粹 IPv4 We 纯粹 IPv6 
图 15-1 双 栈 网 络 视图 1 











IPv4 VLAN 
三 三 一 一 IPv6 VLAN 


图 15-2 使 用 VLAN 的 双 栈 部 署 L14491 


15.2.2 DNS 考虑 


如 我 们 将 看 到 的 ， 在 每 种 迁移 技术 的 正确 运行 中 ，DNS 扮演 了 一 个 至 关 重 要 的 
角色 ; 毕竟 ， 它 提供 了 端 用 户 命名 〈 例 如 在 应 用 层 的 网 站 地 址 ) 和 目的 地 IP 地 址 
(在 网 络 层 的 IPv4 或 IPv6 地 址 ) 之 间 的 重要 联系 。 尝 试 访问 一 台 双 栈 设备 的 端 用 户 
将 查询 DNS， 管 理 员 可 配置 该 DNS， 配 置 对 应 于 节点 IPv4 地 址 的 一 条 A 资源 记录 和 
对 应 于 其 IPv6 地 址 的 一 条 AAAA 资源 记录 。 资 源 记录 的 属 主 字 段 可 能 有 对 应 于 设备 
的 一 个 常用 主机 域名 ， 见 如 下 例子 。 

dual- stack- host. ipamworldwide. com. 86400 IN A 10. 200. 0. 16 
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dual- stack- host. ipamworldwide. com. 86400 IN AAAA 2001: DB8; 2200:: A 

IP 地 址 到 主机 域名 的 解析 ， 也 可 配置 在 合适 . arpa 域内 的 DNS 之 中 。 

16. 0. 200. 10. in- addr. arpa. 86400 IN PTR dual-stack-host. ipamworldwide. com. 

A. 0. 0. 0. 0. 0. 0. 0.0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 0. 2. 2. 8. B. D. 0. 1. 0. 0. 2. ip6. arpa. 
86400 

IN PTR dual-stack- host. ipamworldwide. com. 

一 个 双 栈 节点 本 身 ， 在 其 自己 的 DNS 解析 处 理 过 程 之 中 ， 必 须 能 够 支持 A 和 
AAAA 记录 的 接收 ， 并 使 用 该 地 址 和 对 应 于 返回 记录 的 协议 ， 与 预期 目的 地 进行 通 
信 。 当 从 查询 中 返回 一 条 A 和 AAAA 记录 时 ， 一 些 解 析 器 配置 可 能 支持 首选 网 络 协 
议 的 定义 ， 而 并 不 涉及 当 发 出 DNS 查询 本 身 时 使 用 的 协议 。 另 外 ， 如 我 们 将 看 到 的 ， 
一 些 自动 化 的 打 隧 道 技术 利用 特定 的 IPv6 地 址 格式 ， 所 以 也 可 能 返回 对 应 于 一 种 或 
多 种 隧道 化 地 址 格式 的 地 址 ， 并 如 下 使 用 ， 即 解析 主机 支持 对 应 的 隧道 化 技术 。 解 析 
相应 的 PTR 记录 的 做 法 ， 要 求 对 相应 . arpa. 树 向 下 遍历 ， 这 在 一 些 情形 中 可 能 有 误 ， 
即 带 有 坎 骗 性 质 〈 我 们 将 在 下 面 讨 论 ) 。 

就 DNS 查询 和 答案 的 传输 中 所 用 的 IP 版 本 而 言 ，RFC 3901 (因特网 当前 最 佳 实 
践 91)"” 建 议 ， 每 台 递归 DNS 服务 器 应 该 仅 支持 IPv4 或 双 栈 IPv4/IPv6。 该 RFC 也 
建议 ， 每 个 DNS 区 域 应 该 至 少 由 一 台 IPv4 可 达 的 权威 DNS 服务 器 提供 服务 。 提 出 这 
些 建议 ， 目 的 是 为 仅 支持 IPv4 的 解析 器 提供 后 向 兼容 性 ， 而 这 些 解析 器 将 存在 相当 
长 的 时 间 。 


15.2.3 DHCP 考虑 


在 双 栈 实现 中 使 用 DHCP 的 机 制 在 如 下 情况 下 是 简单 的 ， 即 每 个 栈 使 用 其 对 应 的 
DHCP 版 本 。 即 ， 为 得 到 一 个 IPv4 地 址 ， 使 用 DHCP; 为 得 到 一 个 IPv6 地 址 或 前 缀 ， 
使 用 DHCPv6。 但是， 这 两 种 形式 的 DHCP 提供 了 附加 的 配置 信息 ， 例 如 要 使 用 哪 台 
DNS 或 NTP 服务 器 。 取 决 于 从 两 种 服务 器 处 得 到 的 信息 如 何 合并 的 情况 ， 所 得 到 的 
信息 可 能 导致 客户 端 上 的 不 正确 行为 。 例 如 ， 如 果 DNS 服务 器 地 址 可 由 这 两 种 DHCP 
事务 提供 的 话 ， 那 么 就 不 能 传递 Pv4 、IPv6 的 首选 情况 ， 或 混合 首选 排序 信息 。 这 仍 
然 是 人 们 关心 的 一 个 待 决 领域 ， 在 RFC 447° 中 进行 了 记录 ， 但 当前 标准 是 为 IPv4 
使 用 一 台 DHCP 服务 器 ， 为 IPv6 使 用 一 台 DHCPv6 服务 器 ， 它 们 可 能 实现 在 一 台 共同 
的 物理 服务 器 上 。 


15.3 打 隧 道 方法 


已 经 开发 各 种 打 隧 道 的 技术 ， 用 来 支持 Pv4 之 上 的 IPv6 和 IPv4 隧道 之 上 的 
IPv6。 一般 而 言 ， 这 些 技术 被 分 类 为 配置 的 或 自动 化 的 。 配 置 的 隧道 是 预先 确定 的 ， 
而 自动 化 的 隧道 是 在 线 产 生 和 拆除 的 。 在 回顾 一 下 打 隧 道 方法 基础 知识 之 后 ， 我 们 将 
讨论 这 两 种 隧道 类 型 。 

一 般 来 说 ， 在 一 个 IPv4 网 络 上 以 隧道 方式 传输 IPv6 报 文 的 做 法 ， 涉 及 在 一 条 
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IPv6 报 文 前 面 打上 一 个 IPv4 首部 ， 如 图 15-3 所 示 。 这 使 打 过 隧道 的 报 文 能 够 在 一 个 
IPv4 路 由 基础 设施 上 被 路 由 ; IPv6 报 文 被 简单 地 看 做 IPv4 报 文 内 的 净 荷 。 隧 道 的 人 
口 点 ， 无 论 是 一 台 路 由 器 还 是 主机 ， 都 要 实施 封装 功能 。 在 IPv 首部 中 的 源 IPv4 地 
址 带 有 那个 节点 的 IPv4 地 址 ， 目 的 地 址 是 隧道 端点 的 地 址 。IPv4 首部 的 协议 字段 被 
设置 为 41 (FAR), ， 指 明 是 一 条 被 封装 的 IPv6 报 文 。 出 口 节点 或 隧道 端点 实施 解 
封装 ， 去 掉 IPv4 首部 ， 并 依据 情况 ， 通 过 IPv6 将 报 文 路 由 到 最 终 目的 地 。 


IPA py is ? 


图 15-3 IPv4 隧道 之 上 的 IPv6011 





15.3.1 IPv4 网 络 上 传输 IPv6 报 文 的 打 隧 道场 景 


使 用 这 种 基本 的 打 隧 道 方法 ， 就 定义 了 基于 隧道 端点 的 多 种 场景 。 也 许 最 常见 的 
配置 是 一 种 路 由 器 到 路 由 器 的 隧道 ， 如 图 15-4 所 示 ， 这 是 配置 隧道 的 最 常见 方法 。 






I pv6 主 机 IPv6 主 机 





IPv6/IPv4 路 由 器 at 
v6 地 址 =W v4 地 址 =B v4 地 址 =C v6 地 址 =Z 
wi 1 v6 地 址 =Y 
v6 源 =W bee VAR HREC i v6 源 =W 
v6 目的 地 =Z = = v6 目的 地 =Z 











图 15-4 路 由 器 到 路 由 器 的 隧道 "1 


在 这 个 图 中 ， 在 左 侧 的 源 发 IPv6 主机 有 IPv6 地 址 W (现在 是 出 于 简单 性 和 简洁 
性 考虑 ) 。 目 的 地 为 图 中 远 端 主机 的 一 条 报 文 ?具有 IPv6 地 址 Z， 该 报 文 被 发 往 服务 
该 子 网 的 一 台 路 由 器 。 这 台 路 由 器 ， 带 有 IPv4 地 址 B 和 IPv6 地 址 X， 接 收 到 IPv6 报 
文 。 被 配置 为 将 目的 地 为 主机 Z 所 在 网 络 的 报 文 以 隧道 方式 传输 ， 则 该 路 由 器 将 IPv6 
报 文 封装 带 有 一 个 IPv4 首部 。 路 由 器 使 用 它 的 IPv4 地 址 (B) 作为 源 IPv4 地 址 ， 以 
隧道 端点 路 由 器 ( 带 有 IPv4 地 址 C) 作为 目的 地 地 址 ， 后 者 由 图 15-4 中 心 部 分 IPv4 
网 络 之 下 的 点 线 式 矩 形 表示 。 被 打上 隧道 的 报 文 ， 像 “常规 ”IPv4 报 文 一 样 被 路 由 
到 目的 地 隧道 端点 路 由 器 。 这 人 台 端 点 路 由 器 将 报 文 解 封装 ， 去 掉 IPv4 首部 ， 将 原始 的 





晶 ”这 条 报 文 被 粗略 地 标识 为 图 中 原始 主机 之 下 的 实 线 矩 形 ， 给 出 报 文 的 IPv6 源 地 址 W 和 目的 地 地 
址 Z。 在 本 图 和 后 续 的 打 隧 道 方法 的 图 中 ， 隧 道 首 部 被 显示 为 点 线 式 矩形 。 


298 IP 地 址 管理 原理 与 实践 





IPv4 报 文 路 由 到 预期 的 目的 地 Z。 

男 一 种 隧道 法 场景 ， 突 出 一 台 IPv6/IPv4 主机 ， 该 主机 能 够 支持 IPv4 和 IPv6 
协议 ， 以 隧道 方式 将 一 条 报 文 传输 到 一 台 路 由 器 ， 接 下 来 路 由 器 对 报 文 解 封装 ， 
并 将 其 通过 IPv6 以 原生 方式 (natively) 进行 路 由 。 这 个 流程 及 报 文 首部 地 址 如 
图 15-5 所 示 。 打 隧道 的 机 制 是 与 路 由 器 到 路 由 器 的 情形 相同 的 ， 但 隧道 端点 是 
不 同 的 。 


AT 





IPv6 主 机 


IPv6 路 由 器 v6 地 址 =Z 


v6 地 址 =Y 














图 15-5 主机 到 路 由 器 的 隧道 法 配置 5 


路 由 器 到 主机 的 配置 也 是 非常 类 似 的 ， 如 图 15-6 所 示 。 在 图 中 左 侧 的 源 发 IPv6 
主机 ， 将 IPv6 报 文 发 送 到 它 的 本 地 路 由 器 ， 后 者 将 报 文 路 由 到 最 靠近 目的 地 的 一 台 
路 由 器 。 发 挥 作用 (serving) 的 路 由 器 被 配置 为 在 IPv4 之 上 以 隧道 方式 将 IPv6 报 文 
传输 到 主机 ， 如 图 15-6 所 示 。 

最 后 一 种 打 隧 道 的 配置 是 跨越 端 到 端的 配置 ， 即 从 主机 到 主机 的 情形 。 如 果 路 由 
基础 设施 还 没有 升级 到 支持 IPv6 ， 那 么 这 种 打 隧 道 的 配置 ， 使 两 台 IPv6/IPv4 主机 能 
够 通过 一 条 隧道 进行 通信 ， 如 图 15-7 所 示 。 在 这 个 例子 中 ， 通 信 是 从 端 到 端 在 IPv4 
协议 上 发 生 的 。 







IPv6 主机 








v6 地 址 =W ee VE 
| v4 源 =C | 
V6 源 =W v6 源 =W kann MEHMED 1 
aan oe 
v6 目的 地 =Z 


图 15-6 路 由 器 到 主机 的 隧道 配置 11 (一 ) 











r 1 
| 2 | 
ey = J 
v6 目 的 地 -Z v6 目 的 地 = =Z Y6 目 的 地 =2Z 


15-7 ”路 由 器 到 主机 的 隧道 配置 22 (二 ) 
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15.3.2 隧道 类 型 


如 前 面 提 到 的 ， 隧道 是 配置 的 或 自动 产生 的 。 配 置 的 隧道 是 在 通信 之 前 由 管理 员 
提前 配置 的 。 在 上 面 描述 的 场景 中 ， 就 何 时 以 隧道 方式 传输 IPv6 报 文 而 言 ， 要 配置 
设备 就 要 求 配置 相应 的 隧道 端点 ， 即 依据 目的 地 和 其 他 隧道 配置 参数 进行 配置 ， 这些 
参数 是 隧道 实现 必 备 的 参数 。 

一 条 自动 产生 的 隧道 并 不 要 求 隧道 的 提前 配置 ， 但 却 要 求 激活 以 隧道 法 传输 的 配 
置 。 依 据 IPv6 报 文 内 包含 的 信息 (例如 源 或 目的 地 P 地 址 ) 创建 隧道 。 本 节 描 述 了 
如 下 自动 方式 打 隧 道 的 技术 。 

(1) 6to4。 依 据 一 个 特定 的 全 局 地 址 前 缀 和 内 符 的 IPv4 地 址 ， 路 由 器 到 路 由 器 
自动 打 隧 道 方法 。 

(2) ISATAP。 依 据 一 种 特定 的 IPv6 地 址 格式 (包括 一 个 内 嵌 的 IPv4 地 址 ) ， 主 
机 到 路 由 器 、 路 由 器 到 主机 或 主机 到 主机 的 自动 打 隧 道 方法 。 

(3) 6over4 (IPv4 之 上 的 IPv6)。 使 用 IPv4 组 播 的 主机 到 主机 的 自动 打 隧道 
方法 。 

(4) 隧道 代理 。 由 一 台 服 务 器 实现 的 自动 隧道 建立 方法 ， 在 指派 隧道 网 关 资 源 
过 程 中 ， 该 服务 器 代表 要 求 打 隧 道 的 主机 ， 作 为 一 个 隧道 代理 。 

(5) Teredo。 在 IPv4 网 络 上 通过 NAT 防火 墙 的 自动 打 隧道 方法 。 

(6) 双 栈 迁移 机 制 。 支 持 在 IPv6 网 络 上 IPv4 报 文 的 自动 打 隧道 方法 。 

6to4 。6to4 是 IPv4 之 上 传输 IPV6 的 打 隧 道 技术 ， 它 依赖 于 一 种 特定 的 IPv6 地 址 
格式 来 识别 6to4 报 文 ， 并 据 此 以 隧道 方式 进行 传输 。 地 址 格式 由 一 个 6to4 前 绥 
2002:: /16， 后 跟 一 个 全 局 唯一 的 IPv4 地 址 (用 于 预期 的 目的 地 站 点 ) 组 成 。 这 种 
串 接 法 形成 一 个 48 前 级 ， 如 下 图 。 

唯一 的 IPv4 地 址 ， 在 图 15-8 我 们 的 例子 中 是 192. 0. 2. 131， 代 表 终 止 6to4 隧道 
的 6to4 的 IPv4 地 址 。48bit 的 6to4 前 缀 用 作 全 局 路 由 前 缀 ， 一 个 子 网 ID 可 被 附加 为 
接 下 来 的 16bit， 后 跟 一 个 接口 ID， 由 此 完整 地 定义 了 该 IPv6 地 址 。 必 须 使 用 带 有 
6to4 隧道 法 支持 的 路 由 器 (6to4 路 由 器 ) ， 通 过 6to4 隧道 发 送 /接收 的 IPv6 主机 ， 必 
须 配置 有 一 个 6to4 地 址 ， 并 被 认为 是 6to4 主机 。 


ee 
192.0.0.131 ~ 






6to4 AY AR 2002::/16 


(RO 1100000000000000 00000010 





2002 : C000 :283::/48 
图 15-8 6to4 地 址 前 缀 生成 法 1 和 ] 


让 我 们 考虑 一 个 例子 ,包含 6to4 主机 的 两 个 站 点 ,期 望 进行 通信 ， 并 通过 连接 
到 一 个 共同 的 IPv4 网 络 的 6to4 路 由 器 进行 互联 ; 这 可 能 是 因特网 或 一 个 内 部 IPv4 网 
络 。 依 据 图 15-9， 路 由 器 的 IPv4 接口 的 IPv4 地 址 (相互 面 对 ) 分 别 是 192. 0. 2. 130 
和 192. 0.2. 131。 将 这 些 IPv4 地 址 转换 到 6to4 前 级， 我 们 分 别 得 到 2002: C000: 
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282:: /48 和 2002: C000: 283:: /48。 就 6to4 可 达 性 而 言 ， 这 些 前 缀 现在 识别 了 每 
(Sata 在 左 侧 的 我 们 的 6to4 主机 处 于 子 网 ID =1 E, a 有 接口 ID = 

。 因 此 这 台 主 机 的 6to4 地 址 是 2002: C000: 282: 1:: 1。 这 个 地 址 将 以 手工 方式 配 
ora 配置 e ID 和 路 由 器 通告 
2002; C000: 282: 1:: /64 前 缀 ) 。 类 似 地 ， 在 另 一 站 点 的 6to4 主机 处 在 子 网 ID =2 
上 ， 接 口 ID =1， 得 到 一 个 6to4 地 址 2002: C000: 283: 2:: 1。 







6to4 路 由 器 04 路 由 器 6to4 主 
orem N” vate? 0.2.130 vasait 192 0.2.131 fie 
6to4 地 址 -2002:C000:282:1::1 v6 地 址 = =X VOY 6to4 地 址 = 2002: C000:283 :2::1 
i v4 源 =177.9.168.130 1 
VOUR=2002:C000:282:1z1 | 4 目 的 地 =177.9.168.131 _ 4 [V6 9f=2002: C000: 282: 1:1 
v6 目的 地 =2002:C000:283 :2::1 v6 源 =2002 :C000:282:1::1 
v6 目的 地 =2002:C000:283 :2::1 


图 15-9 6to4 隧道 法 的 例子 049 1 


对 应 于 这 些 6to4 地 址 的 AAAA 和 PTR 资源 记录 也 应 该 添加 到 合适 域内 的 DNS, 34 
通过 因特网 打 隧 道 时 ， 目 的 地 AAAA 和 PTR 记录 是 由 管理 相应 6to4 设备 的 每 个 组 织 机 
构 维 护 的 ， 解 析 会 要 求 沿 每 个 域 子 树 向 下 遍历 。AAAA 记录 遵循 正常 的 “转发 域 ”解析 
法 , 但 PTR 记录 有 点 不 是 那么 直接 。 因 为 PTR 域 树 是 基于 相应 IPv6 地 址 的 ， 在 6to4 情 
形 中 这 种 地 址 是 组 织 机 构 依 据 它 的 IPv4 地 址 空间 “ 自 配 置 的 ”， 而 不 是 由 一 个 上 游 IPv6 
地 址 注册 机 构 分 配 的 ， 所 以 ip6. apra 委派 就 与 一 个 权威 的 上 游 父 域 没 有 关系 的 。 建 立 了 
一 个 特殊 的 注册 机 构 ， 处 理 来 自 2. 0. 0. 2. ip6. arpa 区 域 的 委派 : 号 码 资源 组 织 (NPO), 
在 我 们 的 例子 中 ， 对 应 于 2002: C000: 283:: /48 前 级 的 ipv6. arpa 域 的 管理 员 们 ， 将 带 
有 6to4. nro. net 的 3. 8. 2. 0. 0. 0. 0. C. 2. 0. 0. 2. ip6. arpa 区 域 和 对 应 的 权威 名 字 服 务 器 进 
行 注 册 。 

继续 将 讨论 回 到 报 文 流 ， 当 在 左 侧 的 我 们 的 主机 希望 与 右 侧 的 主机 通信 时 ， 一 次 
DNS 查询 将 解析 到 它 的 6to4 地 址 。 发 送 主机 将 使 用 它 的 6to4 地 址 作为 源 地 址 ， 使 用 
目的 地 6to4 地 址 作为 目的 地 址 。 当 6to4 路 由 器 接收 到 这 条 报 文 时 ， 该 路 由 器 将 分 别 
使 用 它 的 〈 源 ) IPv4 地 址 和 另 一 个 6to4 路 由 器 的 (目的 ) IPv4 地 址 ， 将 报 文 封装 上 
一 个 IPv4 首部 。 接 收 到 这 条 报 文 的 目的 地 6to4 路 由 器 ， 将 报 文 解 封装 ， 并 将 之 在 它 
的 2002: C000: 283: 2:: /64 网 络 上 传输 到 目的 地 6to4 主机 。 

6to4 为 IPv6 主机 在 IPv4 网 络 上 进行 通信 提供 了 一 种 高 效 的 机 制 。 因 为 IPv6 网 络 
是 增 量 式 部 署 的 ， 则 6to4 中 继 路 由 器 〈 它 是 也 支持 6to4 的 IPv6 路 由 器 ) 可 被 用 来 从 
“ 纯 ”IPv6 网 络 上 的 主机 通过 IPv4 网 络 将 报 文中 继 到 IPv6 主机 。 

但 是 ， 可 施用 相同 的 编 址 和 打 隧 道 的 方案 ，6to4 路 由 器 要 求知 道 6to4 中 继 路 由 
器 ， 从 而 可 将 全 局 单 播 (纯粹 的 (native) ) IPv6 地 址 映射 到 一 个 6to4 地 址 ， 便 于 打 
隧道 。 配 置 这 些 中 继 路 由 器 ， 有 三 种 方式 。 

(1) 配置 到 目的 地 纯 IPv6 网 络 的 路 由 ， 其 中 以 6to4 中 继 路 由 器 作为 下 一 跳 。 这 
种 情形 如 图 15-10 所 示 。 















V6 目 的 地 =2002:C000:283:2::1 
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路 由 表 
目的 地 :2001:DB8:0:El1::/64 
=> 下 一 跳 :2002:C000:282::A 


路 由 表 
目的 地 :2001: DB8:0:E2::/64 
=> 下 一 跳 :2001: DB8:0E2::Al 





6to4 主 机 
04 由 器 IPv6 主 机 
v6 地 址 -2001: DB8:0:El::1 6to4 路 由 器 v4 地 址 =192.0.2.131 v6 地 址 =2001: DB8:0:E2::E7 


4 地 址 =192.0.2.130 
6to4 地 址 =2002:C000:282:1: il oe aes 2.02130。 v4 地 址 -192.88.99.1( 任 意 播 ) 
Nt =2001:DB8:0:El:A 






v6 地 址 =2001: DB8:0:E2::A1 





l ”v4 源 =192.0.2.130 | 
We v4 目的 地 =192.0.2.131 E Vv6 源 =2002:C000:282 :1::1 
或 "4 目 Lt 192.88.99.1 v6 目 的 地 =2001:DB8:0:E2::E7 









V6 源 =2002:C000:282:1::] 
v6 目的 地 =2001: DB8: 0: E2::E7 
















图 15-10 6to4 主机 与 一 台 纯 粹 的 IPv6 ane 


(2) 利用 正常 的 路 由 协议 ， 使 6to4 中 继 路 由 器 通告 到 IPv6 网 络 的 路 由 。 当 通告 
到 迁移 IPv6 网 络 或 内 部 的 IPv6 网 络 时 ， 可 应 用 这 种 场景 。 如 果 图 15-10 中 的 纯 IPv6 
网 络 是 “IPv6 互联 网 ” ， 则 图 中 下 面 的 默认 路 由 选项 可 能 是 一 条 较 佳 的 可 选 路 由 。 

(3) 配置 到 6to4 中 继 路 由 器 的 一 条 默认 路 由 ， 可 到 达 IPv6 网 络 。 这 种 场景 可 应 
用 于 如 下 情况 ， 其 中 一 条 IPv6 因特网 连接 ， 仅 通过 一 个 IPv4 网 络 内 部 可 达 该 组 织 
构 ， 在 该 机 构 内 不 存在 或 几乎 不 存在 纯 IPv6 网 络 ”。 

在 浏览 (walking through) 图 15-10 时 ， 我 们 在 图 左 侧 的 一 个 IPv4ZIPv6 网 络 上 有 
一 台 6to4 主机 ， 它 有 一 个 纯粹 的 IPv6 地 址 和 一 个 6to4 地 址 。 这 人 台 主 机 开始 与 图 中 右 
侧 带 有 IP 地 址 2001; DB8: 0: E2:: E7 的 一 台 纯粹 IPv6 主机 通信 。 当 查询 目的 地 主 
机 的 IP 地 址 时 ， 从 一 台 DNS 服务 器 返回 的 一 条 AAAA 资源 记录 响应 内 带 有 这 个 IPv6 
地 址 。 因 此 ， 我 们 在 左 侧 的 6to4 主机 ， 使 用 其 IPv6 或 6to4 (显示 出 的 ) 地 址 作为 源 
IP 地 址 (依据 主机 的 地 址 选择 策略 ) 并 使 用 目的 地 主机 的 IPv6 地 址 作为 目的 地 ， 形 
成 一 条 IPv6 报 文 。 

之 后 这 条 报 文 到 达 IPv4 网 络 云 左 侧 的 6to4 路 由 器 。 为 了 路 由 到 目的 地 2001: 
DB8: 0: E2:: /64 网 络 ， 该 路 由 器 需要 有 一 条 路 由 表 项 ， 指 向 6to4 中 继 路 由 器 的 
6to4 地 址 ， 如 图 所 示 。 之 后 6to4 路 由 器 将 创建 一 条 到 相应 IPv4 地 址 的 一 条 自动 隧道 ， 
该 IPv4 地 址 被 包含 在 路 由 表 中 可 找到 的 6to4 地 址 的 第 17 ~ 48bit。 注 意 ， 就 像 刚才 讨 
论 的 ， 这 个 路 由 表 项 可 以 是 一 条 默认 路 由 ， 将 报 文 路 由 到 6to4 中 继 路 由 器 的 6to4 单 
播 地 址 ， 也 可 以 是 6to4 任意 播 地 址 。 

虽然 在 图 15-10 中 的 路 由 器 的 路 由 表 中 没有 给 出 ， 但 图 示 在 IPv4 网 络 云 之 下 的 
隧道 式 报 文 首部 ， 表 明 封 装 IPv6 报 文 的 目的 地 IPv4 地 址 ， 可 以 是 IPv4 单 播 地 址 或 对 
应 于 6to4 任意 播 地 址 的 IPv4 地 址 。 在 接收 到 IPv4 报 文 时 ，6to4 中 继 路 由 器 将 对 报 文 





O “这 个 场景 的 一 种 变形 ， 要 求 将 下 一 跳 默 认 路 由 定义 为 6to4 中 继 路 由 器 任意 播 地 址 (用 于 IPv6 网 
络 ) 。 这 种 变形 支持 带 有 多 个 6to4 中 继 路 由 器 的 场景 。RFC 3068 (194) 为 6to4 中 继 路 由 器 定义 
了 一 个 任意 播 地 址 : 2002: C058: 6301:: /48。 这 个 地 址 对 应 于 IPv4 地 址 192. 88. 99. 1。 这 种 变 
形 也 形象 地 示 于 图 15. 10 之 中 。 
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解 封 装 ， 之 后 将 纯粹 的 IPv6 报 文 传输 到 预期 的 接收 者 。 

在 相反 方向 上 ， 使 用 接收 者 的 6to4 地 址 作为 目的 地 IPv6 地 址 的 做 法 ， 将 通知 
6to4 中 继 ， 这 条 报 文 要 求 进行 对 应 的 6to4 路 由 器 打上 6to4 隧道 。 但 是 ， 如 果 目 的 地 
地 址 是 一 个 纯粹 的 IPv6 地 址 ， 则 在 6to4 中 继 路 由 器 内 的 路 由 表 必 须 包含 对 应 6to4 路 
由 器 之 6to4 地 址 的 映射 作为 朝向 IPv6 主机 的 下 一 跳 。 

(1) 站 点 内 自动 化 打 隧道 的 编 址 协议 (ISATAP) 。ISATAP 是 一 个 试验 型 的 协议 ， 
它 为 主机 到 路 由 器 、 路 由 器 到 主机 和 主机 到 主机 的 配置 场景 ， 提 供 IPv4 之 上 IPv6 的 
自动 化 打 隧 道 方 法 。 使 用 一 个 IPv4 地 址 来 定义 IPv6 地 址 的 接口 ID ， 如 此 形成 ISATAP 
IPv6 地 址 。 接 口 ID 由 :: SEFE; a.b. c.d 组 成 ,其 中 a.b.c.d 是 点 分 十 进 制 IPv4 表示 
法 。 所 以 对 应 于 192. 0. 2. 131 的 一 个 ISATAP 接口 ID 表示 为 :: SEFE: 192. 0.2.131。 
IPv4 表示 法 提供 了 这 样 一 个 清晰 的 指示 ， 即 ISATAP 地 址 包含 一 个 IPv4 地 址 ， 而 并 不 
需要 将 IPv4 地 址 转换 为 十 六 进 制 。 这 个 ISATAP 接口 ID 可 被 用 作 一 个 正常 的 接口 ID， 
其 中 将 之 附加 到 所 支持 的 网 络 前 缀 之 后 ， 如 此 定义 IPv6 地 址 。 例 如 ,使 用 上 述 ISAT- 
AP 接口 ID 的 链 路 本 地 IPv6 地 址 是 FE80;:: 5EFE: 192. 0.2. 131, 

要 求 支 持 ISATAP 的 各 主机 维护 一 个 潜在 的 路 由 器 列表 (PRL) ， 在 每 台 路 由 器 
通告 一 个 ISATAP 接口 时 ， 该 表 包 含 IPv4 地 址 和 关联 的 地 址 寿命 定时 器 。ISATAP 主 
机 通过 IPv4 之 上 的 路 由 器 请 求 (solicitation) 从 本 地 路 由 器 出 请 求 ISATAP 支持 信息 。 
请 求 目 的 地 需要 由 主机 加 以 识别 ， 方 法 是 预先 的 人 工 配 置 、 在 DNS 中 查找 带 有 主机 
名 “isatap” 的 路 由 器 或 使 用 一 个 DHCP 厂商 特定 选项 (指明 ISATAP 路 由 器 (可 能 
多 个 ) 的 IPv4 地 址 (可 能 多 个 ) ) DNS 技术 要 求 管理 员 们 使 用 isatap 主机 名 为 ISAT- 
AP 路 由 器 创建 资源 记录 。 

一 台 ISATAP 主机 将 采用 一 个 IPv4 首部 封装 IPv6 数据 报 文 ， 如 图 15-11 所 示 ， 它 
使 用 的 是 来 自 PRL 的 对 应 于 选中 路 由 器 的 IPv4 地 址 。 






3 ISATAP 路 由 器 IPv6 路 由 器 IPv6 主 机 
IPv4 地 址 =10.10.0.10 v4 地 址 =10.10.0.1 v6 地 址 =2001: DB8:0:1::FF01 v6 地 址 =2001:DB8:0:1::FFA1 
ISATAP 主 机 =2001; DB8::5EFE: 10. we 10 
Oe 








图 15-11 ISATAP 主机 到 路 由 器 范例 0491 


ISATAP 主机 可 使 用 配置 的 IPv4 地 址 自动 配置 它们 的 ISATAP 接口 ID ，IPv4 地 址 
可 能 是 静态 确定 的 或 通过 DHCP 得 到 的 。 如 果 配 置 有 IPv6 ， 微 软 XP 和 2003 服务 器 可 
实施 这 样 的 自动 配置 。 微 软 Vista 和 微软 7 客户 端 以 及 Windows 2008 服务 器 默认 地 支 
持 ISATAP 自动 配置 。ISATAP 接口 ID 被 附加 在 一 个 64bit 全 球 网 络 前 缀 之 后 ， 子 网 
ID 是 由 被 请 求 ISATAP 路 由 器 在 其 路 由 器 通告 中 提供 的 。 

按照 图 15-11， 在 图 左 侧 的 主机 使 用 DNS 识别 目的 地 主机 的 IP 地 址 ， 在 这 种 情 
形 中 是 一 个 IPv6 地 址 。 一 条 IPv6 报 文 将 由 主机 形成 ， 它 使 用 其 ISATAP IPv6 地 址 作 
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为 报 文 的 源 地 址 ， 目 的 地 IPv6 主机 地 址 作为 目的 地 地 址 。 这 条 报 文 是 封装 在 一 个 
IPv4 首部 中 的 ， 因 此 形成 一 条 自动 隧道 。 隧 道 源 地 址 被 设置 为 ISATAP 主机 的 IPv4 地 
址 ， 目 的 地 地 址 被 设置 为 ISATAP 路 由 器 的 IPv4 地 址 ， 在 IP 首部 中 的 协议 字段 被 设 
置 为 十 进 制 的 41， 指 明 这 是 一 条 被 封装 的 IPv6 报 文 。ISATAP 路 由 器 不 必 和 主 机 位 于 
同一 个 物理 网 络 上 ， 隧 道 可 跨越 主机 和 ISATAP 路 由 器 之 间 的 一 个 通用 IPv4 网 络 (F 
Bex ABE). ISATAP 路 由 器 去 掉 IPv4 首部 ， 并 将 得 到 的 IPv6 报 文 路 由 到 目的 地 主机 ， 
使 用 的 是 正常 的 IPv6 路 由 。 

目的 地 主机 可 使 用 源 发 主机 的 ISATAP 地 址 ， 对 源 发 主机 做 出 响应 。 因 为 ISATAP 
地 址 包含 一 个 全 局 唯一 网 络 前 缀 / 子 网 ID ， 所 以 返回 的 目的 地 报 文 被 路 由 到 发 挥 作用 
(serving) 的 ISATAP 路 由 器 。 在 处 理 接 口 ID 时 ，ISATAP 路 由 器 可 抽取 目的 地 主机 的 
IPv4 地 址 ， 并 以 到 源 发 主机 的 一 个 IPv4 首部 封装 该 IPv6 报 文 。 采 取 一 种 类 似 方式 ， 
图 15-11 右 侧 中 纯粹 IPv6 主机 可 发 起 到 ISATAP 主机 的 通信 。 从 右 到 左 ， 在 这 种 情形 
Ht, ISATAP 路 由 器 将 生成 到 主机 的 ISATAP 隧道 。 

主机 到 主机 的 ISATAP 隧道 ， 类 似 于 图 15-7 中 给 出 的 隧道 ， 可 由 一 个 IPv4 网 络 
上 驻 留 的 ISATAP 主机 发 起 ， 其 中 一 个 链 路 本 地 (同一 子 网 ) 或 全 局 网 络 前 级 可 被 添 
加 在 每 台 主 机 ISATAP 接口 ID 之 前 作为 前 级 。 在 图 15-7 中 ，IPv6 地 址 W 和 2Z 将 分 别 
代表 从 IPv4 地 址 A 和 DD 形成 的 ISATAP 地 址 。 

(2) 6over4。6over4 是 一 种 自动 打 隧道 技术 ， 它 利用 了 IPv4 组 播 。 要 求 使 用 IPv4 
组 播 ，6over4 被 看 做 一 条 虚 链 路 层 或 虚拟 以 太 网 。 由 于 采用 了 虚拟 链 路 层 的 观点 ， 所 
以 形成 IPv6 地 址 时 使 用 了 一 个 链 路 本 地 范围 (FE80:: /10 前 缀 ) 。 一 台 主 机 的 IPv4 
地 址 组 成 了 其 IPv6 地 址 的 6over4 接口 ID 部 分 。 例 如 ， 带 有 IPv4 地 址 192.0.2.85 的 
一 台 6over4 主机 将 形成 一 个 IPv6 接口 ID :: C000; 255， 因 此 形成 一 个 6over4 地 址 
FE80;; C000; 255。6over4 隧道 可 以 是 主机 到 主机 、 主 机 到 路 由 器 和 路 由 器 到 主机 等 
形式 ， 其 中 相应 的 主机 和 路 由 器 必须 被 配置 支持 6over4 。 使 用 相应 的 IPv4 组 播 地 址 ， 
将 IPv6 报 文 以 隧道 方式 打 在 IPv4 首部 之 内 。 组 播 组 的 所 有 成 员 接 收 到 打 过 隧道 的 报 
文 ， 因 此 这 类 似 于 虚拟 链 路 层 ， 预 期 的 接收 者 去 掉 IPv4 首部 并 处 理 IPv6 报 文 。 只 要 
至 少 有 一 台 IPv6 路 由 器 也 运行 6over4 ， 它 通过 IPv4 组 播 机 制 是 可 达 的 ， 则 该 路 由 器 
就 被 用 作 一 个 隧道 端点 ， 通 过 IPv6 路 由 报 文 。 

6over4 支持 IPv6 组 播 和 单 播 ， 所 以 各 主机 可 实施 IPv6 路 由 器 和 邻居 发 现 ， 来 定 
位 IPv6 路 由 器 。 当 以 隧道 方式 传输 IPv6 组 播 消息 时 ,例如 为 了 进行 邻居 发 现 ， 则 
IPv4 目的 地 地 址 格式 为 239. 192. Y.Z, Hep Y 和 ZzZ 是 IPv6 组 播 地 址 的 最 后 两 个 字 节 。 
因此 到 所 有 路 由 器 链 路 范围 的 组 播 地 址 FF02:: 2 的 一 条 IPv6 消息 ， 将 以 隧道 方式 被 
传输 到 IPv4 目的 地 239. 192. 0.2。6over4 主机 使 用 因特网 组 成 员 协议 (IGMP) 将 组 
播 组 成 员 关 系 通 知 IPv4 路 由 器 。 

(3) 隧道 代理 。 隧 道 代 理 为 IPv4 网 络 之 上 自动 打 隧 道 法 ， 提 供 了 另 一 项 技术 。 
隧道 代理 管理 (代理 ) 来 自 双 栈 客户 端 和 隧道 代理 服务 器 (它们 连接 到 预期 的 IPv6 
网 络 ) 的 隧道 请 求 。 尝 试 访问 一 个 IPv6 网 络 的 双 栈 客户 端 可 有 选择 地 被 定向 到 一 个 
隧道 代理 web 门户 ， 要 输入 认证 机 密 信 息 ， 以 此 授权 代理 服务 的 使 用 权 。 隧 道 代 理 也 
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为 授权 范围 管理 证 书 。 客 户 端 也 为 其 隧道 末端 提供 了 IPv4 地 址 ， 还 有 客户 端的 期 望 
FQDN、 所 请 求 IPv6 地 址 的 数量 以 及 客户 端 是 一 台 主 机 还 是 一 台 路 由 器 。 

一 旦 被 授权 ， 隧 道 代 理 就 实施 多 项 任务 来 代理 隧道 的 创建 生成 。 

1) 指派 并 配置 一 台 隧 道 服务 器 ， 将 所 选中 的 隧道 服务 器 通知 新 的 客户 端 。 

2) 依据 所 请 求 的 地 址 数量 和 客户 端 类 型 (路 由 器 或 主机 ) ， 向 客户 端 指派 一 个 
IPv6 地 址 或 前 缀 。 

3) 在 DNS 中 注册 客户 端 FQDN。 

4) 将 客户 端 被 指派 的 障 道 服务 器 和 相关 联 的 隧道 、IPv6 参数 (包括 地 址 /前 绥 
和 DNS 名 ) 通知 客户 端 。 

在 图 的 顶部 ， 图 15-12 形象 地 说 明了 客户 端 -隧道 代理 的 交互 通信 ， 在 下 面 显示 
所 得 到 的 客户 端 和 所 指派 隧道 服务 器 之 间 的 隧道 。RFC 55720! 批准 隧道 建立 协议 
(TSP) ， 其 中 促进 形成 了 通用 的 隧道 建立 消息 和 组 件 交互 通信 。 

隧道 代理 











z. 
DNS 服务 器 






隧道 客户 端 
隧道 服务 器 


NO ， 


S 
N 隧道 服务 器 


图 15-12 ”隧道 代理 交互 通信 5471 


(4) Teredo。 通 过 实施 网 络 地 址 转换 的 防火 墙 打 了 隧道， 如果 从 设计 上 不 是 不 可 能 
的 话 ， 那 么 也 是 具有 挑战 性 的 。Teredo 是 一 项 隧道 代理 技术 ， 它 支持 在 IPv4 之 上 将 
IPv6 报 文 以 UDP 上 的 隧道 方式 进行 传输 而 穿越 NAT， 针 对 的 是 主机 到 主机 的 自动 打 
隧道 情形 。 为 了 便利 NAT/ 防 火 墙 穿越 ，Teredo 集成 了 附加 的 UDP 首部 〈 见 图 
15-13) 。 许 多 NAT/ 防 火 墙 设备 将 不 允许 带 有 报 文 首 部 协议 字段 设置 为 41 (依据 前 面 
所 述 ， 这 是 针对 IPv6 隧道 法 而 设 的 ) 的 IPv4 报 文通 过 。 附 加 的 UDP 首部 进一步 将 隧 
if “HLA” (buries) ， 以 便 支 持 它 穿 越 通过 NAT/ 防 火 墙 设 备 ， 多 数 这 种 设备 均 支 持 
UDP 端口 转换 。 

Teredo 是 在 RFC 4380'" 中 定义 的 ， 目 的 是 提供 “1IPv6 接 入 的 最 无 奈 手 段 ” (last 
resort) (这 是 由 于 它 具 有 额外 负担 ) ， 但 当 支持 6to4 路 由 器 或 支持 IPv6 的 防火 墙 路 由 
器 得 以 部 署 时 ， 将 用 得 越 来 越 少 。Tereo 要 求 如 下 元 素 (element), ， 如 图 15-14, 
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IPv6 首 部 TCP/UDP 





1P\4 首 部 UDP iPv6 首 部 


图 15-13 Teredo 隧道 添加 一 个 UDP 首部 ， 之 后 再 添加 IPv4 HBB 












IPv4 网 络 
: , 例如 因特网 IPv6 主 机 
Teredo 客户 端 、、 Teredo 中 继 


图 15-14 Teredo 客户 端 到 IPv6 主机 的 连接 


1) Teredo 客户 端 。 

2) Teredo 服务 器 。 

3) Teredo 中 继 。 

Teredo 打 隧 道 过 程 开始 时 ， 一 个 Teredo 客户 端 实施 一 个 资格 证 明 过 程 来 发 现 最 接 
近 预 期 目的 地 IPv6 主机 的 一 台 Teredo 中 继 ， 并 识别 正在 工作 的 NAT 防火 墙 类 型 。Te- 
redo 中 继 是 Teredo 隧道 端点 ， 它 服务 预期 的 目的 地 主机 。Teredo 主机 必须 提前 配置 这 
台 Teredo 服务 器 IPv4 地 址 以 便 使 用 ， 这 会 帮助 建立 Teredo 连接 。 

确定 最 近 Teredo 中 继 的 过 程 ， 包 括 将 一 条 IPv6 ping (ICMPv6 echo request (回声 
请 求 ) ) 发 送 到 目的 地 主机 。ping 被 一 个 UDP 和 IPv4 首部 封装 ， 并 发 送 到 Teredo MK 
务 器 ， 服 务 器 对 报 文 解 封装 ， 将 纯粹 的 ICMPv6 报 文 发 送 到 目的 地 。 目 的 地 主机 的 响 
应 将 通过 纯粹 的 IPv6 被 路 由 到 最 近 的 (路 由 角度 来 说 ) Teredo 中 继 ， 之 后 发 回 源 发 
主机 。 在 这 种 方式 中 ， 客 户 端 依据 其 IPv4 和 UDP [隧道 ] 首部 ， 确 定 合 适 的 Teredo 
中 继 的 IPv4 地 址 和 端口 。 图 15-14 形象 地 说 明了 这 种 情形 ， 其 中 一 个 Teredo 客户 端 
正 与 一 台 纯 粹 的 IPv6 主机 通信 。 

(5) NAT 类 型 。 将 被 穿越 NAT 的 类 型 驱动 得 到 这 样 的 需要 ， 即 实施 一 个 额外 步 
me (EIZ NAT 设备 初始 化 Teredo 客户 端 和 IPv6 主机 之 间 数 据 交换 的 表 映 射 。 定 义 了 
如 下 NAT 类 型 : 

1) 全 锥 面 (Full cone)。 来 自 相同 内 部 IP 地 址 和 端口 的 所 有 IP 报 文 ， 都 被 映射 
到 一 个 相应 的 外 部 地 址 和 端口 。 通 过 传输 到 被 映射 的 外 部 地 址 和 端口 ， 外 部 主机 是 可 
与 主机 通信 的 。 

2) 受 限 锥 面 (Restricted Cone) 。 来 自 相 同 内 部 IP 地 址 和 端口 的 所 有 IP 报 文 ， 
都 被 映射 到 一 个 相应 的 外 部 地 址 和 端口 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 一 条 报 
文 ， 一 台 外 部 主机 才能 与 这 台 内 部 主机 通信 。 
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3) 端口 受 限 锥 面 (Port Restricted Cone) 。 来 自 相 同 内 部 IP 地 址 和 端口 的 所 有 IP 
报 文 ， 都 被 映射 到 一 个 相应 的 外 部 地 址 和 端口 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 
一 条 报 文 ， 并 使 用 外 部 主机 的 地 址 和 相同 端口 号 ， 外 部 主机 才能 与 内 部 主机 通信 。 

4) 对 称 的 。 从 一 个 给 定 的 内 部 卫 地 址 和 端口 发 送 到 一 个 特定 外 部 IP 地 址 和 端 
口 的 所 有 报 文 ， 被 映射 到 一 个 特定 的 IP 地 址 和 端口 。 来 自 相 同 主机 IP 地 址 和 端口 的 
报 文 ， 发 送 到 一 个 不 同 的 目的 地 IP 地 址 或 端口 ， 会 得 到 一 个 不 同 的 外 部 IP 地 址 和 端 
口上 映射 。 仅 当 内 部 主机 以 前 向 外 部 主机 发 送 过 一 条 报 文 ， 并 使 用 外 部 主机 的 地 址 和 相 
同 端口 号 ， 外 部 主机 才能 与 内 部 主机 通信 。 

K 15-1 形象 地 说 明了 这 些 不 同 的 NAT 类 型 。 依 据 针 对 每 种 情形 给 出 的 外 发 流 
量 ，NAT 将 内 部 地 址 和 端口 映射 到 一 个 指派 的 外 部 地 址 和 端口 ; 接 下 来 这 得 到 表 中 
右 侧 栏 给 出 的 相应 被 允许 进入 流量 。 首 先 考虑 全 锥 面 范例 ， 带 有 IP 地 址 10. 10.0.1 
的 一 台 内 部 主机 ， 使 用 源 端 口 10081， 通 过 NAT 发 起 一 次 会 话 。 在 从 NAT 外 发 的 报 
XE, NAT 将 原始 10. 10.0. 1 源 下 地 址 映射 为 192. 0.2.1。NAT 也 在 外 发 报 文 上 指派 
端口 号 43513 ， 并 为 返回 到 IPv4 内 部 主机 的 内 部 分 支 (流量 ) 指派 端口 号 42512 ( 任 
何 高 序号 的 端口 ) 。 因 此 ，NAT 终止 第 一 条 连接 ， 并 将 之 桥接 到 另 一 条 连接 上 ; 第 一 
条 连接 是 (10.10.0.1: 10081 +> NAT IP 地 址 : 42512), 而 第 二 条 连接 是 
(192. 0.2.1: 43513** 来 自 原始 报 文 的 目的 地 IP 地 址 : 来 自 原始 报 文 的 目的 地 端口 ) 。 


表 15-1 NAT 类 型 
外 发 流量 被 允许 的 进入 流量 
内 部 主机 一 外 部 主机 NAT 映射 外 部 主机 一 内 部 主机 
全 锥 面 源 目的 地 内 部 <> 外 部 目的 地 


源 
IP 地 址 10. 10. 0. 1 任意 10. 10. 0. 1 192.0.2.1 任意 192.0.2.1 

we «| 10081 任意 任意 任意 
ZREN 源 内 部 e 外 部 源 目的 地 
IP 地 址 10. 10.0.1 203.0. 113.8 | 192.0.2.1 


端口 10081 任意 42512 43513 任意 任意 
IP 地 址 10. 10.0.1 | 203.0.113.8 | 10.10.0.1 192.0.2.1 | 203.0.113.8 | 192.0.2.1 
端口 10081 pe eens 任意 


| 
| 
对 称 的 内 部 e 外 部 源 目的 地 
































IP 地址 10. 10. 0. 1 203. 0. 113.8 | 10. 10. 0.1 192. 0. 2. 1 203. 0. 113.8 | 192.0.2.1 








端口 10081 80 42512 43513 80 43513 





基于 这 条 内 部 发 起 的 公报 (communique) ( 译 者 注 : 感觉 是 通信 ， 原 文 错 
误 ) ， 任 一 台 外 部 主机 均 可 发 起 到 IP 地址 192. 0.2. 1 的 一 条 报 文 ， 由 此 内 部 连接 
到 10. 10.0. 1 主机 。 这 表示 为 表 右 侧 的 被 允许 进入 流量 之 下 。 在 全 锥 面 情形 中 ， 
来 自 一 台 外 部 主机 的 一 条 进入 报 文 ， 它 源 于 任何 IP 地址 或 端口 ( 源 地 址 = 任意 ， 
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端口 = 任意 ) ， 且 目的 地 卫 地 址 为 192.0.2.1 的 任何 端口 上 ， 这 样 的 报 文 都 将 被 
接受 。 

将 这 种 情形 与 表 底 部 的 对 称 情形 比 对 一 下 ， 在 对 称 情形 中 ,一 台 在 IP 地 址 
10. 10. 0.1 上 的 主机 使 用 源 端 口 10081， 发 起 到 目的 地 IP 地 址 203. 0. 113. 8 端口 80 
的 一 条 连接 。NAT 终止 这 条 连接 ， 并 发 起 到 给 定 目 的 地 地 址 和 端口 的 一 条 外 部 连 
接 ， 将 源 IP 地 址 映射 到 192. 0.2.1、 端 口 映 射 到 43513。 在 这 种 情形 中 ， 被 允许 穿 
过 NAT 的 仅 有 可 接受 进入 流量 ,将 具有 一 个 源 地 址 和 端口 组 合 203. 0. 113. 8: 80、 
目的 地 地 址 和 端口 组 合 192. 0.2.1: 43513， 这 是 依据 来 自 源 发 主机 的 通信 进行 映 
射 得 到 的 。 

受 限 锥 面 配置 法 将 原始 目的 地 IP 地 址 映射 为 被 允许 的 ， 即 当 相应 目的 地 IP 地 址 
是 NAT 映射 的 地 址 (在 这 个 例子 中 是 192.0.2.1) BY, 来 自 外 部 空间 的 后 续 进 入 源 
IP 地 址 (203.0.113.8) 为 允许 的 。 端 口 受 限 场景 加 入 了 端口 有 效 性 检查 ,方法 是 当 
相应 目的 地 IP 地 址 和 端口 匹配 NAT 映射 到 地 址 (在 这 个 例子 中 是 192.0.2.1) 时 ， 
将 来 自 外 部 空间 (203.0.113.8: 80) 的 后 续 进 入 IP 地址 和 端口 是 允许 的 。 

为 了 使 用 Teredo 进行 通信 并 建立 防火 墙 穿 越 ， 这 种 NAT 类 型 驱动 Teredo 初始 化 
过 程 。 当 是 全 锥 面 时 ，NAT 的 识别 不 要 求 进一步 的 合格 性 检查 ， 原 因 是 任何 外 部 主 
机 可 发 起 到 其 外 部 地 址 的 通信 。 但 无 论 哪 种 受 限 锥 面 场景 都 要 求 进一步 的 合格 性 检 
查 ， 以 便 合 适 地 将 地 址 和 目的 地 地 址 映射 到 NAT 内 的 那些 对 应 的 地 址 和 目的 地 。 为 
了 完成 NAT 内 部 主机 与 目的 地 主机 通信 的 映射 ，Teredo 客户 端 将 一 条 冒 泡 (bubble) 
报 文 发 送 到 目的 地 主机 。 一 个 冒 泡 报 文 是 没有 净 荷 的 一 个 IPv6 首部 ， 它 被 封装 在 Te- 
redo 隧道 IPv4/UDP 首部 之 中 。 针 对 端口 受 限 锥 面 场 景 ， 它 使 NAT 能 够 完成 内 部 和 外 
部 全 地址 、 内 部 和 外 部 端口 号 的 映射 。 

一 般 而 言 ， 冒 泡 报 文 是 从 源 Teredo 客户 端 直接 发 送 到 目的 地 主机 的 。 但 如 果 目 
的 地 主机 也 位 于 一 个 防火 墙 之 后 ， 那 么 就 丢弃 冒 泡 报 文 , 原因 是 这 是 一 条 未 被 请 求 
(unsolicited) 的 外 部 报 文 。 在 这 种 情形 中 ，Teredo 客户 端 超时 ， 并 通过 Teredo 服务 器 
发 送 冒 泡 报 文 ， 该 服务 器 是 由 预期 目的 地 Teredo 格式 的 IPv6 地 址 加 以 识别 的 ， 由 该 
地 址 对 Teredo IPv4 地 址 编码 。 

假定 目的 地 主机 也 是 一 台 Teredo 客户 端 ， 它 将 接收 该 报 文 ， 它 已 经 在 客户 端 配 
置 过 程 中 ， 由 一 条 以 前 发 送 到 这 台 Teredo 服务 器 的 ping 进行 了 初始 化 。 之 后 目的 地 
主机 将 直接 对 源 发 主机 做 出 响应 ， 这 就 完成 了 NAT 映射 (在 两 端 都 是 如 此 )。 图 
15-15 形 象 地 说 明了 这 个 场景 ， 其 中 两 台 Teredo 客户 端 通过 一 个 共同 的 Teredo 中 继 进 
行 通信 。Teredo 不 支持 对 称 NAT 设备 的 自动 穿越 。 

如 我 们 看 到 的 ，Teredo IPv6 地 址 的 格式 带 有 客户 端 及 其 服务 器 Teredo 服务 器 的 
IPv4 地 址 。Teredo IPv6 地 址 的 格式 如 图 15-16 所 示 。 

Teredo 前 缀 是 一 个 预先 定义 的 IPv6 AA: 2001:: /32, Teredo 服务 器 的 IPv4 地 
址 组 成 了 接 下 来 的 32bit。 各 标志 指明 NAT 类 型 为 全 锥 面 (十 六 进 制 =8000) 或 受 限 
的 或 端口 受 限 的 〈 十 六 进 制 =0000) 。 客 户 端 端口 和 客户 端 了 Pv4 地 址 字段 表示 这 些 对 
应 值 混杂 后 的 值 ， 采 取 的 方法 是 将 每 个 比特 值 取 反 。 
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图 15-15 通过 IPv4 因特网 进行 通信 的 两 台 Teredo 客户 端 0491 


0 31 32 63 64 79 80 95 96 127 


115-16 Teredo IPv6 地 址 格式 [151] 


15.3.3 IPv6 网 络 上 传输 IPv4 报 文 的 打 隧 道场 景 


在 一 个 IPv6 实现 过 程 中 ， 在 IPv6 网 络 上 的 一 些 IPv6 客户 端 可 能 仍然 需要 与 IPv4 
网 络 (例如 因特网 ) 上 的 IPv4 应 用 或 主机 进行 通信 。 在 IPv6 网 络 上 对 IPv4 报 文 打 隧 
道 ， 就 为 保留 这 条 通信 路 径 提供 了 一 种 方法 。 

(1) 双 栈 迁移 机 制 (DSTM) 。DSTM 提供 了 在 IPv6 网 络 上 对 IPv4 报 文 打 隧道 的 
一 种 方法 ， 报 文 最 终 是 发 送 到 目的 地 IPv4 网 络 和 主机 的 。 打 算 与 IPv4 主机 通信 的 
IPv6 网 络 上 的 主机 ， 将 要 求 具 备 双 栈 ， 同 时 是 一 个 DSTM 客户 端 。 在 使 用 DNS 将 预 
期 目的 地 主机 的 主机 名 仅 解析 到 一 个 IPv4 地 址 时 ， 客 户 端 将 发 起 DSTM 过 程 ， 这 非 
常 类 似 于 隧道 代理 方法 。 过 程 开 始 时 ，DSTM 联系 一 台 DSTM 服务 器 ， 以 便 得 到 一 个 
IPv4 地 址 (这 里 首选 通过 DHCPv6 协议 ”) 和 DSTM 网 关 的 IPv6 地 址 。IPv4 地 址 被 用 
作 将 被 传输 的 数据 报 文 的 源 地 址 。 这 条 报 文 被 封装 一 个 IPv6 首部 ,使 用 的 是 DSTM 
客户 端的 源 IPv4 地 址 ，DSTM 网 关 的 IPv6 地 址 作为 目的 地 址 。IPv6 首部 中 的 下 一 首 
部 字段 指明 采用 这 种 “4over6” 隧 道 方法 的 一 条 被 封装 IPv4 报 文 。 

DSTM 的 一 个 变形 支持 纯粹 (native) 网 络 之 外 一 台 DSTM 客户 端 ( 例 如 一 名 在 
家 工作 的 工作 人 员 (home-based worker) ) 基于 VPN 法 的 访问 。 在 这 个 场景 中 ， 假 定 
DSTM 客户 端 得 到 一 个 IPv6 地 址 ， 但 得 不 到 IPv4 地 址 ， 它 就 能 够 连接 到 该 DSTM 服务 
器 来 得 到 一 个 IPv4 地 址 。 这 种 访问 方法 要 求 认 证 ， 才 能 建立 DSTM 客户 端 和 DSTM 网 
关 之 间 的 一 条 VPN, 


© 虽然 DSTM RFC 草案 (1 指明 DHCPv6 作为 得 到 一 个 IPv4 地 址 的 首选 方法 ,但 DHCPv6 目前 还 没 
有 定义 以 本 地 方法 或 通过 一 个 选项 设置 而 指派 IPv4 地 址 的 过 程 或 方法 。 
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IPv6 网 络 
| 


DSTM 客 户 端 


15.3.4 隧道 法 总 结 


依据 源 主机 能 力 / 网 络 类 型 以 及 目的 地 地 址 解析 和 网 络 类 型 ， 下 表 汇 总 了 打 隧 道 
方法 的 可 施用 性 和 范围 (applicability) 。 


“we 
TORE 


图 15-17 DSTM 隧道 建立 047] 


DSTM 服 务 器 


DSTM 网 关 







IPv4 主 机 


IPv4 主 机 





从 (from) 


IPv4 网 络 
上 的 IPv4 客 
户 端 


IPv6 网 络 
上 的 IPv6 客 
户 端 





IPv4 网 络 
上 的 IPv4 H 
的 地 


纯粹 的 IPv4 


纯粹 的 IPv4 


DSTM 一 纯 
粹 的 IPv4 





在 IPv4 网 
络 上 的 双 栈 目 
的 地 ,解析 到 
IPv4 地 址 


纯粹 的 IPv4 


纯粹 的 IPv4 


DSTM 一 纯 
粹 的 IPv4 





到 (to) 


IPv4 网 络 


上 的 双 栈 目的 | 上 的 双 栈 目的 | 上 的 双 栈 目的 
地 ,， 解 析 到 | 地 ,， 解 析 为 | 地 ,解析 为 


IPv6 地 址 


主机 到 主 
机 ,IPv4 之 上 
的 IPv6® 


纯粹 的 IPv6 
一 路 由 器 主 
机 , IPv4 之 上 
的 IPv6® 


纯粹 的 IPv6 
一 IPv4 之 上 


的 IPv6® 





纯粹 的 IPv4 


DSTM 








纯粹 的 IPv6 


纯粹 的 IPv6 








IPv6 网 络 上 
的 IP H 
的 地 


主机 到 路 由 
器 , IPv4 之 上 
的 IPv6® 


纯粹 的 IPv6 


纯粹 的 IPv6 


D 解析 到 一 个 IPv6 地 址 的 可 能 是 一 个 纯粹 的 IPv6 地 址 ， 或 一 个 6to4 ISATAP, Teredo, 6over4 或 IPv4 
兼容 的 地 址 。 主 机 必须 依据 它 对 相应 技术 的 支持 ， 来 选择 目的 地 地 址 。 
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在 表 左 上 角 和 右 下 角 的 单元 (cel) 表明 从 端 到 端 使 用 纯粹 的 IP 版 本 。 不 同 
(opposite) 协议 的 任何 中 间 (intervening) 网 络 必须 通过 一 条 路 由 器 到 路 由 器 的 隧道 
以 隧道 方式 穿 过 ， 或 在 每 个 边界 处 使 用 一 种 转换 技术 进行 转换 ， 在 下 一 节 讨 论 。 

其 他 单元 表明 一 种 打 隧 道 的 场景 。 "一 ”符号 代表 网 络 内 的 一 个 转换 点 或 打 隧道 
的 端点 ， 该 点 处 将 相应 的 纯粹 协议 转换 为 一 个 隧道 协议 或 反之 亦 然 。 

空白 单元 指明 通过 隧道 方式 的 一 种 无 效 连接 。 但 是 ， 可 采用 转换 技术 来 桥接 这 些 
ERB (gap) ， 我 们 将 在 后 面 讨论 。 


15.4 转换 方法 


转换 技术 在 协议 栈 的 一 个 特定 层 实 施 IPv4 到 IPv6 转换 (和 相反 情况 ) ， 典 型 情 
况 下 有 网 络 层 、 传 输 层 或 应 用 层 。 打 隧道 法 不 改变 隧道 内 的 数据 报 文 ， 仅 仅 是 附加 一 
个 首部 或 两 个 首部 ， 与 此 不 同 的 是 ， 转 换 机 制 确 实 要 在 IPv4 和 IPv6 相互 之 间 修 改 或 
转换 IP 报 文 。 一 般 而 言 ， 在 仅 支 持 IPv6 的 节点 与 仅 支持 IPv4 的 节点 之 间 通 信 的 一 个 
环境 中 ， 建 议 使 用 转换 方法 ; 即 ， 对 于 上 面 汇 总 表 中 空白 单元 的 场景 采用 这 种 方法 。 
在 双 栈 环境 中 ， 首 选 纯粹 的 或 打 隧 道 机 制 ” 。 


15.4.1 无 状态 IP/ICMP 转换 算法 


转换 IPv4 和 IPv6 报 文 的 常用 算法 是 无 状态 的 IP/ICMP 转换 (SIT) 算法 。SIIT 
提供 了 IPv4 和 IPv6 之 间 IP 报 文 首部 的 转换 。SIIT 驻 留 在 一 台 IPv6 主机 或 网 关上 ， 将 
外 发 IPv6 报 文 首部 转换 为 IPv4 首部 ， 将 进入 的 IPv4 首部 转换 为 IPv6 首部 。 为 了 实施 
这 项 任务 ， 必 须 向 IPv6 主机 提供 一 个 IPv4 地 址 ， 可 以 是 配置 在 该 主机 上 的 ， 或 通过 
在 RFC 2765 ”中 未 指派 的 一 项 网 络 服务 得 到 的 。 当 IPv6 主机 期 望 与 一 台 IPv4 主机 
通信 时 ，SIIT 算法 将 IPv6 报 文 首部 转换 为 IPv4 首部 格式 。SIIT 算法 识别 这 样 一 种 情 
形 ， 其 中 当 IPv6 地 址 是 一 个 IPv4 映射 的 地 址 时 的 情况 ， 其 格式 如 图 15-18 所 示 。 将 
所 解析 IPv4 地 址 转换 为 一 个 IPv4 映射 地 址 的 机 制 ， 由 协议 栈 肿 块 (bump-in-the- 
stack, BIS) 或 API 肿块 (bump-in-the-API，BIA) 技术 加 以 提供 ， 后 面 描 述 这 些 
技术 。 





(800:0) 
图 15-18  IPv4 映射 的 地 址 格式 52] 


依据 存在 IPv4 映射 地 址 格式 作为 目的 地 IP 地 址 的 情况 ，SIIT 实施 首部 转换 (下 
面 描述 ) ， 来 得 到 通过 数据 链 路 和 物理 层 进 行 传输 的 一 条 IPv4 报 文 。 一 个 IPv6 节点 
的 源 卫 地 址 使 用 一 个 不 同 的 格式 ， 即 IPv4 转换 的 格式 ， 如 图 15-19 所 示 ， 但 RFC 
2765 却 没 有 规范 这 个 地 址 最 初 是 如 何 配置 的 。 
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Æ 15-19 Æ SIT 内 使 用 的 IPv4 转换 的 地 址 格式 


SIIT 算法 的 一 种 潜在 可 能 的 协议 栈 视图 如 图 15-20 所 示 。 
两 个 方向 的 基本 首部 转换 过 程 汇总 如 下 。 



































IPv4 一 IPv6 首部 转换 IPv6 一 IPv4 首部 转换 

版 本 =6 版 本 =4 

流量 类 = IPv4 首部 TOS 比特 首部 长 度 =5( 没 有 IPv4 选项 ) 

流标 签 =0 服务 类 型 = IPv6 首部 流量 类 字段 

净 荷 长 度 = IPv4 首部 总 长 度 值 - (IPv4 首部 长 度 + AKE = IPv6 首部 净 荷 长 度 字段 + IPv4 首部 长 
IPv4 选项 长 度 ) 度 

标识 =0 
下 一 个 首部 = IPv4 首部 协议 字段 值 标志 = 不 分 段 =1, 更 多 分 段 =0 
跳 限 制 = IPv4 TTL 字段 值 -1 分 段 偏 移 =0 
IP =0:0:0:0:FFFF; :/96 与 IPv4 首部 源 IP 

ace” 上 Bie TTL = IPv6 跳 限制 字段 值 -1 








协议 =IPv6 下 一 个 首部 字段 





目的 地 IP Hatt =0:0:0;:0;0;FFFF; ;/96 45 IPv4 Ñ 


H = 在 IPv4 首部 上 4 
部 目的 地 IP 地 址 串 接 首部 校 验 和 = 在 IPv4 首部 上 计算 得 到 的 





W IP Hat = IPv6 WR IP 地 址 字段 (IPv4 转换 的 
地 址 ) 的 低 32bit 
目的 地 IP 地址 = IPv6 目的 地 IP 地 址 字段 (IPv4 


映射 的 地 址 ) 的 低 32bit 
选项 = 无 


现在 让 我 们 看 看 采用 SIIT 算法 转换 IPv4 和 IPv6 报 文 的 一 些 技术 。 
15.4.2 协议 栈 中 的 肿块 


协议 栈 中 的 肿块 〈(BIS) 22 使 主机 利用 IPv4 应 用 在 IPv6 网 络 上 进行 通信 。BIS IR 
探 TCP/IPv4 模块 和 链 路 层 设备 (例如 网 络 接口 卡 ) 之 间 的 数据 流 ， 并 将 IPv4 报 文 转 
换 到 IPv6。BIS 的 各 组 件 如 图 15-21 所 示 。 

依据 SUT 算法 ， 转 换 器 组 件 将 IPv4 首部 转换 到 一 个 IPv6 首部 。 扩 展 名 字 解 析 器 
嗅 探 A 记录 类 型 的 DNS 查询 ;在 检测 到 这 样 的 一 条 查询 时 ， 扩 展 名 字 解 析 器 组 件 就 
针对 同一 主机 域名 (Qname) 和 类 (Qclass), 产生 查找 AAAA 记录 类 型 的 一 条 附加 
查询 。 如 果 从 AAAA 查询 没有 接收 到 肯定 的 应 答 ， 那 么 通信 接 下 来 使 用 IPv4; 如果 
AAAA 查询 被 成 功 地 解析 ， 那 么 扩展 名 字 解 析 器 就 指令 地 址 映射 器 组 件 将 返回 的 IPv4 
地 址 (A 记录 ) 与 返回 的 IPv6 地 址 (AAAA 记录 ) 关联 。 如 果 仅 接收 到 一 条 AAAA 
响应 ， 那 么 地 址 映射 器 就 从 一 个 内 部 配置 的 地 址 池 中 指派 一 个 IPv4 地 址 。 
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15-20 SIIT 栈 范例 10153] 














图 15-21 

















协议 栈 中 肿块 (BIS) 组 件 6541 


为 了 沿 协议 栈 向 请 求 对 A 查询 解析 的 应 用 提供 一 个 响应 ， 需 要 IPv4 地 址 。 因 此 ， 
地 址 映射 器 维护 真实 或 自 指派 的 IPv4 地 址 与 目的 地 IPv6 地 址 的 关联 关系 。 之 后 目的 


地 为 那个 IPv4 地 址 的 任何 数据 报 文 ， 由 转换 器 转换 为 IPv6 报 文 ， 以 便 通 过 IPv6 网 络 


进行 传输 。 


在 BIS 主机 接收 到 从 一 台 外 部 主机 (还 没有 被 映射 ) 发 起 的 一 条 IPv6 报 文 的 情 
形 中 ， 地 址 映射 器 将 从 其 内 部 地 址 池 指 派 一 个 IPv4 地 址 ， 并 将 IPv6 首部 转换 为 IPv4 


首部 ， 以 便 沿 协议 栈 向 上 传递 。 
15.4.3 API 中 的 肿块 


API 中 的 肿块 (BIA)'" 策略 支持 使 用 IPv4 应 用 ， 同 时 在 一 个 IPv6 网 络 上 通信 。 


不 像 BIS 提供 的 IP 首部 修改 的 是 ，BIA 方法 在 IPv4 和 IPv6 API 之 间 进 行 转换 。BIA 
是 在 主机 的 应 用 和 协议 栈 的 TCP/UDP 层 之 间 实 现 的 ， 它 由 一 个 API 转换 器 、 一 


址 映射 器 、 名 字 解 析 器 和 功能 映射 器 组 成 ， 如 图 15-22 所 示 。 


当 IPv4 应 用 发 送 一 条 DNS 查 

询 ， 以 便 确定 一 个 目的 地 主机 的 IP 
地 址 时 ， 名 字 解 析 器 截获 该 查询 ， 
并 生成 一 条 请 求 AAAA 记录 的 附加 
查询 。 带 有 一 条 A 记录 的 一 个 DNS 
答 ， 将 提供 带 有 给 定 IPv4 地 址 的 
答案 。 仅 带 有 一 个 AAAA 记录 的 一 
个 应 答 ， 会 促使 名 字 解 析 器 从 地 址 
映射 器 处 请 求 一 个 IPv4 地 址 ， 以 便 
映射 到 返回 的 IPv6 地 址 。 名 字 解 析 
器 利用 被 映射 的 IPv4 地 址 ， 向 应 用 


图 15-22 API 中 的 肿块 (BIA) ES 





返回 一 条 A 记录 响应 。 地 址 映射 器 维护 IPv6 地 址 到 那些 从 一 个 内 部 地 址 池 (由 未 指 
派 IPv4 地 址 空间 (0.0.0.0/24) 组 成 ) 指派 地 址 间 的 这 个 映射 。 功 能 映射 器 截获 
API 功能 调用 ， 并 将 IPv4 API 调用 映射 到 IPv6 套 接 字 调用 。 
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15.4.4 带 有 协议 转换 的 网 络 地 址 转换 (NAT-PT) 一 一 被 废弃 不 用 


正如 其 名 字 所 蕴含 的 ，NAT-PT'" 过 程 不 仅 涉 及 将 IPv4 地 址 转换 为 IPv6 地 址 
(就 像 人 们 所 熟悉 的 IPv4 NAT 那 样 ) ， 而 且 实 施 协议 首部 转换 ， 这 点 见 SIT 一 节 所 
描述 的 内 容 ”。 一 台 NAT-PT 设备 用 作 一 个 IPv6 网 络 和 一 个 IPv4 网 络 之 间 的 网 关 ， 
并 支持 纯粹 的 IPv6 设备 与 IPv4 因特网 上 的 主机 进行 通信 (比如 )。NAT-PT 设备 
维护 一 个 IPv4 地 址 池 ， 并 将 一 个 给 定 IPv4 地 址 与 一 个 IPv6 地 址 关联 ， 而 通信 继 
续 进行 。 图 15-23 形 象 地 说 明了 一 种 NAT-PT 部署 的 架构 。 由 于 RFC 4966") th 
枚 举 到 的 多 项 原因 ，NAT-PT (和 下 面 描述 的 NAPT-PT) 已 被 废弃 不 用 ， 且 不 应 
进行 部 署 。 






IPv6 网 络 







Ea I 数据 净 丛 
| 首部 ? aA Ihi (tf 


Al 15-23 NAT-PT 部 署 〈 被 废弃 不 用 ) 0541 


15.4.5 带 有 协议 转换 的 网 络 地 址 端口 转换 (NAPT- PT) 一 一 废弃 不 用 


NAPT-PT 使 IPv6 节点 能 够 使 用 单一 IPv4 地 址 与 IPv4 节点 通信 。 因 此 ， 在 上面 的 
图 15-23 中 ， 它 并 不 像 NAT-PT 中 那样 维护 一 个 IPv6 地 址 和 一 个 唯一 IPv4 地 址 的 一 
到 一 关联 ，NAPT-PT 将 每 个 IPv6 地 址 映射 到 一 个 共同 的 IPv4 地 址 ， 在 相应 的 IPv4 报 
文中 设置 一 个 唯一 的 TCP 或 UDP 端口 值 。 使 用 单一 共享 IPv4 地 址 的 做 法 ， 最 小 化 了 
NAT-PT 场景 中 IPv4 地 址 池 耗 尽 的 可 能 。 


15.4.6 SOCKS IPv6/IPv4 WX 


在 RFC 1928" 中 定义 的 SOCKS， 为 应 用 穿越 防火 墙 提供 了 传输 中 继 ， 这 实际 上 
提供 了 应 用 代理 服务 。 针 对 转换 IPv4 和 IPv6 通信 ，RFC 3089021 施 用 SOCKS 协议 。 
就 像 前 面 已 经 讨论 的 其 他 转换 技术 一 样 ， 这 种 方法 包括 特殊 的 DNS 处 理 ， 称 之 为 
DNS 名 字 解 析 委 派 ， 它 将 来 自 解析 器 客户 端的 名 字 解 析 任务 委派 给 SOCKS IPv6/IPy4 
网 关 。 一 个 IPv4 或 IPv6 应 用 可 被 “ 套 接 字 化 ” (socksified) ， 以 便 为 到 支持 其 他 〈op- 
posite) 协议 的 一 台 主 机 的 最 终 连接 ， 而 与 SOCKS 网 关 代 理 通信 。 图 15-24 形象 地 说 
明了 一 台 IPv6 主机 配置 有 一 个 SOCKS 客户 端的 情形 ， 该 客户 端 连接 到 一 个 IPv4 主 
机 。 一 台 套 接 字 化 的 IPv4 主机 仅仅 通过 该 SOCKS 网 关 而 与 一 台 IPv6 主机 通信 ， 图 中 
的 方向 是 从 右 到 左 。 


O ”例外 情况 是 ,在 NAT -PT 网 关内 由 关联 所 控制 的 源 和 目的 地 IP 地 址 字段 。 
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IPv4 主 机 





IPv4 主 机 
带 有 套 接 字 的 客户 端 套 接 字 
IPv6/IPv4 GW 
图 15-24 基本 的 SOCKS 网 关 配 置 [1591 


15.4.7 ”传输 中 继 转换 器 


非常 像 SOCKS 配置 情况 的 是 ， 传 输 中 继 转 换 器 (TRT) 的 特征 是 ， 一 台 有 状态 
网 关 设 备 互 连 在 不 同 网 络 上 的 两 条 “独立 的 ”连接 。 来 自 一 台 主 机 的 TCP/UDP 连接 
在 TRT 上 终结 ,该 TRT 创建 到 目的 地 主机 的 一 条 独立 连接 ， 并 在 这 两 条 连接 之 间 进 
行 中 继 。TRT 要 求 一 个 DNS- 应 用 层 网 关 DNS-ALG? ， 它 作为 一 个 DNS 代理 。 规 范 
TRT， 用 来 支持 IPv6 主机 与 IPv4 目的 地 进行 通信 。 如 此 ，DNS-ALG 的 主要 功能 是 当 
IPv6 解析 器 请 求 时 ， 实 施 一 次 AAAA 资源 记录 查询 ; 如 果 返 回 一 条 AAAA 记录 ， 则 
应 答 就 被 传递 到 解析 器 ， 接 下 来 的 数据 连接 就 是 一 条 IPv6 连接 。 如 果 没 有 返回 AAAA 
记录 ， 则 DNS-ALG 实施 一 次 A 记录 查询 ， 如 果 接 收 到 一 个 应 答 ， 那 么 DNS-ALG 是 
使 用 包含 于 所 返回 A 记录 中 的 IPv4 地 址 ， 形 成 一 个 IPv6 地 址 。RFC 3142"”， 它 将 
TRT 定义 为 一 个 信息 型 的 RFC， 规 定 使 用 前 缀 C6:: /64 后 跟 32 个 零 ， 再 加 上 32bit 
的 IPv4 地 址 。 但 是 ，IANA 并 没有 分 配 C6:: /64 前 级 。 因 此 ， 那么 就 要 求 使 用 一 个 
本 地 配置 的 前 级。 


15.4.8 应 用 层 网 关 


类 似 于 HTTP 代理 ， 应 用 层 网 关 (ALG) 在 应 用 层 实施 协议 转换 ， 并 实施 应 用 代 
理 功能 ( 见 图 15-25) 。 典 型 情况 下 ， 一 个 客户 端的 应 用 将 需要 配置 有 代理 服务 器 的 
IP 地 址 ， 在 打开 应 用 (例如 HTTP 代理 情形 的 网 页 浏览 器 ) 时 ， 将 形成 到 该 代理 服 
务 器 的 一 条 连接 。 在 一 个 仅 支 持 IPv6 网 络 上 的 各 主机 ， 对 于 到 IPv4 互联 网 的 网 页 访 
问 或 其 他 应 用 特定 的 访问 ， 使 用 一 台 ALG 就 是 有 用 的 。 












NS "ALG DNS 一 服务 器 


Wee 


IPv6 网 络 


IPv6 主 机 IPv4 主 机 
TRT 














图 15-25 #4 DNS-ALG 的 TRT 配 置 [1601 





O 有 时 被 称 作 “ 不 给 就 捣蛋 DNS - ALG” 或 totd。 
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15.5 应 用 迁移 


TCP/IP 应 用 事实 上 的 应 用 编程 接口 (AP) 是 套 接 字 接口 ， 它 最 初 是 在 BSD 
UNIX 上 实现 的 (BIND 也 是 最 初 在 这 个 平台 上 实现 的 ) 。 套 接 字 接 口 定义 了 程序 调 
H, SEMAS TCP/IP ARO, WEE IP 网络 上 通信 。 微 软 的 Winsock API 也 是 基 
于 套 接 字 接 口 的 。 为 了 支持 IPv6 的 较 长 地 址 池 和 附加 特征 ， 套 接 字 和 Winsock 接口 都 
做 了 修改 。 事 实 上 ， 多 数 主要 的 操作 系统 都 实现 了 对 套 接 字 或 Winsock 的 支持 ， 包 括 
微软 (XP SP1 Vista, 7, Server 2003 和 2008)、Solaris (8 +), Linux (内 核 2.4+)、 
Mac OS (X.10.2)、AIX (4.3+) 和 HP-UX ( 带 有 升级 的 11i)。 更 新 后 的 套 接 字 接 
口 支持 IPv4 和 IPv6， 并 提供 IPv6 应 用 与 IPv4 应 用 使 用 IPv4 映射 的 IPv6 地 址 进行 互 
操作 的 能 力 。 和 您 的 应 用 厂商 核对 一 下 对 IPv6 兼容 性 及 其 需求 。 


15.6 规划 IPv6 部 署 过 程 


15.6.1 服务 提供 商 部 署 选项 


服务 提供 商 ， 特 别 是 驻地 宽带 服务 提供 商 ， 可 在 他 们 的 网 络 内 实现 IPv6， 并 最 终 将 
IPv6 地 址 部 署 到 客户 处 。 除 了 应 用 本 章 讨论 的 各 项 技术 外 ， 已 经 形成 另外 两 项 可 选 技术 。 

1) 6rd。IPv6 快速 部 署 定义 了 对 6over4 迁移 方法 的 一 个 变种 ， 支 持 向 端 客户 提供 
IPv6 地 址 ， 同 时 继续 支持 一 个 IPv4 和 IPv6 基础 设施 。 

2) 小 型 的 双 栈 (Dual-Stack Lite) 。 为 服务 提供 商 提 供 了 较 佳 利用 日 渐 稀缺 IPv4 
地 址 而 同时 将 IPv6 部 署 到 客户 端的 一 种 方法 。 

(1) 6rd (IPv6 快速 部 署 ) RFC 55695 定义 了 “在 IPv4 基础 上 的 IPv6 快速 部 
署 (6rd)”， 这 样 一 种 技术 使 一 个 服务 提供 商 向 端 客户 提供 IPv6 地 址 ， 而 同时 维持 一 
个 IPv4 基础 设施 。 这 种 方法 要 求 从 客户 端 到 一 个 IPv6 目的 地 ， 通 过 修改 的 6to4 技 
术 ， 将 客户 的 IPv6 流量 打上 隧道 进行 传输 。 修 改 涉 及 使 用 服务 提供 商 的 IPv6 前 级 
(/X32) ， 来 替代 6to4 AAR 2001:: /16。 

就 像 6to4 一 样 ，IPv6 前 缀 接 下 来 的 32bit 由 6to4 网 关 的 IPv4 地 址 组 成 ， 在 这 种 情 
形 中 网 关 是 客户 端 宽带 路 由 器 。 因 此 ， 一 个 6to4 前 缀 定义 为 2001: < 32bit IPv4 地 
址 > :: /48, 而 Ord 前 级 是 <32bit 服务 提供 商 IPv6 ALAR >: <32bit IPv4 地 址 > :: / 
64? 。 这 使 服务 提供 商 向 每 个 客户 提供 一 个 /64 前 级 ， 这 组 成 单一 IPv6 子 网 。 因 此 ， 
带 有 一 个 RIR 分 配 的 IPv6 地 址 块 2001: db8:: /32 的 一 个 服务 提供 商 ， 将 向 有 IPv4 
地 址 192. 0. 2. 130 的 一 台 客 户 网 关 设 备 ， 提 供 一 个 Ord 子 网 地 址 2001; db8 : c000: 
282:: /64， 如 图 15-26 所 示 。 





O ”如果 人 们 希望 的 话 ， 可 使 用 IPv4 地 址 的 一 部 分 ， 比 如 一 个 常用 地 址 10. 0.0.0 的 低 24 个 唯一 bit， 
这 人 允许 较 长 的 服务 提供 商 前 缀 。 
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路 由 表 
目的 地 :2001: db8: c000:282::/64 
=> 下 一 跳 : 到 2001: db8: c000:282::a 的 遂 道 


路 由 表 
目的 地 :2001:db9:0:e2 ::/64 
=> 下 一 跳 :2001:db8:2:e2::/al 
















ee nike a 
IPv6 主 机 


rd BIC rd 中 继 路 由 器 关 6 主机 
v6: 地 址 =2001:db8:c000:282::9a Ti 130 TEE 192.0.2. ale idee v6 地 址 =2001: db9;0:e2::e7 
6rd 地 址 =2001: os sors 282::a v6 地 址 =2001; db8:0:e2 






lh ”v6 源 =192.02.130 | 
v4 目的 地 =192.0.2.131 | 
或 v4 目的 地 =192.0.2.33 


v6 源 =2001:db8:c000:282::9a 
v6 目的 地 =2001:db9:0:e2::e7 


图 15-26 6rd 部 署 范例 


在 驻地 (residence) 内 要 求 一 个 IPv6 地 址 的 一 台 设 备 , 将 从 这 个 子 网 内 被 指派 
一 个 地 址 。 例 如 在 图 15-26 中 ,一 台 PC 被 指派 IPv6 地 址 2001: db8: c000; 232.: 
9a。6rd 客户 网 关 将 纯粹 的 IPv6 报 文 在 IPv4 上 打上 隧道 传输 到 一 个 6rd MX. FE órd 
和 6to4 之 间 的 另 一 项 地 址 相关 的 变化 ， 是 任意 播 6to4 地 址 是 固定 的 (192. 88. 99. 1)， 
而 6rd 任意 播 地 址 是 由 服务 提供 商 自 己 在 其 自己 的 地 址 空间 内 确定 的 。 必 须 向 每 台 
户 路 由 器 提供 Ord 中 继 代 理 或 任意 播 地 址 (可 能 多 个 )。 

6rd 中 继 路 由 器 终结 IPv4 隧道 ， 之 后 将 IPv6 报 文 以 纯粹 方式 (IPv6) 传输 到 它 的 
目的 地 。 服 务 提供 商 前 缀 的 使 用 ,使 6rd 可 达 的 目的 地 与 服务 提供 商 纯粹 IPv6 流量 一 
起 被 通告 传输 。 

小 型 双 栈 (Dual-Stack Lite) 。 小 型 双 栈 是 这 样 一 种 技术 ， 它 使 一 个 服务 提供 商 能 
够 更 有 效 地 利用 正在 消失 的 可 用 公开 IPv4 地 址 池 ， 同 时 便于 对 指派 给 客户 网 关 设 备 
IPv4 地 址 的 长 期 支持 "2 。 典 型 情况 下 ， 服 务 提 供 商 将 一 个 地 址 指派 给 一 台 客 户 路 由 
器 或 网 关 ， 该 设备 直接 与 宽带 接 人 网 络 接口 。 在 将 IP 地 址 指派 给 家 乡 网 络 中 的 全 设 
备 时 ， 客 户 网 关 实 施 DACP 服务 器 功能 。 人 们 预料 ， 这 样 的 家 乡 网 关 设备 将 在 相当 长 
时 间 内 仅 支 持 IPv4。 

组 成 一 个 小 型 双 栈 实现 的 组 件 包 括 如 下 单元 。 

1) 基本 桥接 宽带 (B4) 单元 , 它 将 IPv4 家 乡 网 络 与 一 个 IPv6 网 络 桥接 在 一 起 ; 
B4 功能 可 驻 留 在 客户 网 关 设 备 上 或 在 服务 提供 商 网络 内 。 

2) B4 和 AFTR 之 间 软 件 实现 的 IPv6 中 的 IPv4 隧道 。 

3) 地 址 族 转 换 路 由 器 (AFTR) 以 B4 单元 终结 IPv6 中 传输 IPv4 的 软件 隧道 ， 
它 也 实施 IPv4-IPv4 网 络 地 址 转换 功能 。 

图 15-27 形象 地 说 明了 在 一 条 端 到 端 连 接 内 这 三 个 组 件 间 的 相互 关系 。 从 图 的 左 
侧 开始 ，IPv4 主机 从 客户 网 关 的 DHCP 服务 器 功能 得 到 一 个 IPv4 地 址 10. 1.0.2。 让 
我 们 假定 这 个 IPv4 主机 希望 连接 到 一 个 网 站 , 该 网 站 已 经 解析 到 IP 地 址 
192. 0.2.21, IPv4 主机 以 源 地 址 10.1.0.2 和 源 端 口 1000 (比如 ) 以 及 目的 地 址 
192. 0. 2. 21 端口 80， 形 成 一 条 IP 报 文 。 该 主机 将 这 条 报 文 传输 到 它 的 默认 路 由 ， 即 
客户 网 关 。 








v6 源 =2001:db8:c000:282::9a 
v6 目的 地 =2001:db9:0:e2::e7 






v6 源 =2001: db8:c000:282::9a 
v6 目的 地 =2001 :db9:0:e2::e7 
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在 这 个 例子 中 的 客户 网 关 包 括 B4 单元 ， 如 果 隧 道 还 没有 建立 的 话 ， 那 么 该 单元 
建立 软件 IPv6 中 的 IPv4 隧道 。 在 客户 网 关 的 WAN 接口 (面向 服务 提供 商 网 络 ) 上 
已 经 指派 一 个 IPv6 地 址 ， 隧 道 是 在 这 条 连接 上 建立 的 。 已 经 由 人 工 或 通过 DHCPv6 
为 客户 网 关 配 置 了 AFTR IPv6 地 址 。 如 图 15-27 所 示 ，B4 单元 将 原始 IPv4 报 文 封装 
上 一 个 IPv6 首部 ， 并 将 报 文 传输 到 AFTR, 










NAT 了 映射 表 
10.1.0.2 :1000 来 自 2001: db8::a:1 
<> 198.51.100.5 :5000 


el robo obra Pe 
10.1.0.2 端 网 关 192.0.2.2 









三 v4 源 =2001: db8::a:1 


| _v4 目 的 地 =2001:db8xa:2_ 
v4 源 =10.1.0.2 :1000 
v4 目的 地 =192.0.2.21: 80 


v4 源 =10.1.0.2 :1000 


ae V4¥R=198.51.100.5:5000 
v4 目 的 地 =192.0.2.21;80 


v4 目的 地 =192.0.2.21:80 














图 15-27 小 型 双 栈 架构 中] 


AFTR 终止 隧道 ， 并 去 掉 IPv6 首部 。 之 后 AFTR 实施 一 项 IPv4-IPv4 NAT 功能 。 
为 了 将 原始 报 文 的 私有 “(RFC 1918) IPv4 源 地 址 转换 为 一 个 公开 的 IPv4 地 址 ， 要 求 
这 样 做 。 因 此 ， 服 务 提 供 商 必须 准备 一 个 公开 IPv4 地 址 池 ， 可 被 用 作 目 的 地 为 一 个 
IPv4 目的 地 的 报 文 源 IP 地 址 ， 就 像 这 种 情况 中 那样 。 这 种 准备 地 址 池 的 做 法 ,使 服 
务 提 供 商 能 够 更 加 高 效 地 利用 日 益 稀缺 的 公开 IPv4 地 址 空间 。 一 般 而 言 ，AFTR 也 实 
施 端口 转换 ， 并 为 了 在 两 个 方向 上 正确 地 映射 IPv4 地 址 和 端口 号 ， 必 须 跟 踪 每 项 
NAT 操作 的 这 种 映射 。 

在 图 15-27 中 ，AFTR 将 客户 的 源 IPv4 地 址 和 端口 10.1.0.2: 1000 映射 到 
192. 51. 100. 5: 5000。 因 为 所 有 客户 将 利用 10. 0. 0.0 地 址 空间 ， 所 以 NAT 映射 表 也 
跟踪 报 文 源 自 其 上 的 隧道 。 最 终 被 传输 到 目的 地 主机 的 报 文 ， 包 括 这 个 被 映射 的 IPv4 
地 址 和 端口 198. 51. 100.5: 5000。 目 的 地 为 这 个 地 址 /端口 的 返回 报 文 ， 被 映射 到 
[目的 地 ] 地 址 10.1.0.2: 1000, 并 以 隧道 方式 传输 到 2001: db8:: a: 1。 

部 署 了 纯粹 IPv6 的 客户 或 双 栈 主机 ， 可 拥有 DHCPv6 功能 提供 的 或 通过 自动 配 
置 得 到 的 相应 IPv6 地 址 ，DHCPv6 功能 是 在 客户 网 关中 实现 的 。 在 家 乡 网 络 上 被 传输 
到 客户 网 关 的 IPv6 报 文 ， 不 会 利用 软件 隧道 ， 但 相反 ， 它 是 以 纯粹 的 方式 〈IPv6 ) 
在 服务 提供 商 IPv6 接 人 网络 上 被 路 由 的 。 


15.6.2 企业 部 署 场景 


当 考虑 一 种 IPv6 实现 方法 时 ， 当 然 不 会 缺少 技术 选择 。 具 有 多 种 选择 是 不 错 的 ， 
但 它 也 可 能 令 人 感到 铠 惧 。 选 择 正确 的 途径 将 取决 于 您 的 当前 环境 ,包括 端 用 户 设 备 
和 操作 系统 、 路 由 器 模型 和 版 本 ， 以 及 关键 应 用 、 预 算 和 资源 ， 还 有 时 间 窗 (time 
frame) ( 即 选 择 合适 的 时 机 )。 考 虑 到 主导 操作 系统 和 联网 设备 中 双 栈 支持 的 迅速 增 
长 ， 双 栈 方法 可 能 是 最 普遍 采用 的 方法 。 在 本 节 ， 我 们 将 回顾 一 下 基本 IPv6 实现 场 
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R, 来 提供 各 种 宏观 层次 方法 的 一 种 感觉 (flavor) 。 在 回顾 这 些 场景 时 ， 让 我 们 使 用 
图 15-28 中 的 基本 图 作为 一 个 基线 。 在 这 个 图 中 ,我 们 有 一 个 客户 端 ， 在 这 种 情形 中 
带 有 IPv4 应 用 、IPv4 套 接 字 API 和 TCP/IPv4 协议 栈 ， 还 有 具备 相当 配置 的 一 台 服 务 
器 。 我 们 将 互联 网 络 分 割 成 分 别 用 于 客户 端 和 服务 器 的 接 人 网 络 以 及 一 个 核心 或 骨干 
网 络 。 


















客户 端 i 服务 器 
IPv4 应 用 IPv4 应 用 | 
| a API 
TCP/IPv4 TCP/IPv4 
数据 链 路 /物理 二 和 > 
La 


EBA ORAM 


注意 这 个 基本 图 形象 地 说 明了 成 对 的 客户 端 -服务 器 连接 。 对 于 一 个 给 定 用 例 ， 
这 可 能 代表 一 台 内 部 客户 端 通过 完全 处 于 内 网 的 接 人 网 络 和 核心 网 络 ， 访 问 一 台 内 部 
服务 器 的 情形 。 但 也 可 能 代表 一 台 内 部 客户 端 和 内 部 服务 器 在 因特网 上 通信 ， 一 人 台 内 
部 客户 端 与 一 台 基 于 因特网 的 服务 器 通信 ， 或 一 台 外 部 客户 端 通过 因特网 与 一 台 内 部 
服务 器 通信 等 情形 。 这 种 惯例 (convention) 简化 了 独特 用 例 的 庞大 数量 。 当 描述 迁 
移 场景 时 ， 在 合适 的 地 方 将 指出 这 些 变形 间 的 微小 差异 。 


图 15-28 IPv4 网 络 的 基本 情形 





15.6.3 核心 网 络 迁 移 场景 


第 一 个 场景 涉及 最 初 为 骨干 或 核心 网 络 增补 IPv6 支持 。 这 个 场景 要 求 升 级 所 有 
的 核心 路 由 器 来 支持 IPv6 路 由 和 路 由 协议 ， 升 级 接 人 到 核心 的 边界 路 由 器 来 支持 双 
栈 。 核 心 网 络 可 能 是 一 个 内 部 骨干 或 一 个 IPv6 ISP 网 络 。 接 人 -核心 边界 路 由 器 的 一 
种 常见 实现 方法 是 在 它们 之 间 利用 配置 的 隧道 。 这 种 做 法 使 这 些 边界 路 由 器 能 够 通告 
IPv4 路 由 ， 并 在 IPv6 上 骨干 上 以 隧道 方式 传输 IPv4 报 文 。 另 外 ， 在 这 些 边界 点 上 可 能 
使 用 转换 网 关 。 无 论 采取 哪 种 方式 ， 这 种 正确 实现 的 方法 应 该 对 客户 端 或 服务 器 设备 
或 软件 几乎 没有 多 少 影 响 ， 并 可 在 不 影响 端 用 户 的 条 件 下 ， 为 IPv6 试验 提供 一 个 起 
点 〈 见 图 15-29 ) 。 


15.6.4 服务 器 侧 迁 移 


接 下 来 的 场景 假定 我 们 的 基本 情形 作为 初始 状态 ， 后 跟 将 服务 器 和 应 用 主机 升级 
到 双 栈 实现 。 在 服务 器 仍然 能 够 支持 IPv4 通信 和 应 用 的 前 提 下 ， 端 客户 端 应 该 像 以 
前 一 样 通过 IPv4 通信 。 但 是 ， 服 务 器 也 能 够 服务 IPv6 客户 端 。 这 个 场景 可 能 反映 了 
如 下 用 例 : 
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客户 端 服务 器 





IPv4 应 用 IPv4 应 用 
API API 
TCP/IPv4 TCP/IPv4 











图 15-29 核心 (网络 ) 迁移 场景 0491 
(1) 图 15-30 中 的 客户 端 和 服务 器 处 在 同一 个 组 织 机 构 内 ， 该 组 织 机 构 能 够 仅 升 


级 它 的 服务 器 ， 以 便 在 升级 和 影响 端 客户 端 之 前 ， 为 IPv6 提供 整体 准备 性 测试 。 在 
这 种 情形 中 ， 端 客户 端 将 不 能 访问 任何 IPv6 应 用 。 


客户 端 服务 器 





TCP/IPv4 


图 15-30 ”服务 器 侧 迁 移 场景 10124971 


(2) 这 个 场景 也 可 能 反映 了 通过 一 个 IPv4 网 络 (例如 IPv4 因特网 ) 的 一 个 组 织 
机 构 间 的 连接 。 

1) 正在 向 IPv6 迁移 或 已 完成 迁移 的 一 个 组 织 机 构 ， 将 可 能 为 面向 因特网 的 IP 
应 用 (例如 它 的 web 服务 器 ) 实现 一 台 双 栈 服务 器 。 在 这 种 情形 中 ， 一 个 IPv4 浏览 
器 客户 端 可 通过 因特网 访问 web 服务 器 。web 服务 器 可 同时 服务 IPv4 客户 端 和 IPv6 
浏览 器 客户 端 。 取 决 于 ISP 的 能 力 ， 该 ISP 可 提供 从 一 个 IPv6 接 入 网 络 的 转换 网 关 ， 
或 可 使 用 打 隧 道 方法 。 

2) 正在 向 IPv6 迁移 或 已 完成 迁移 的 一 个 组 织 机 构 ， 如 果 它 要 求 到 仅 运 行 IPv4 
的 合作 伙伴 的 网 络 连接 ， 那么 也 可 映射 到 这 个 场景 。 实 现 配 置 的 隧道 将 是 这 样 一 条 组 
织 机 构 间 链 路 (link) 的 良好 方法 。 

(3) 如 果 我 们 忽略 服务 器 上 双 栈 的 IPv4 部 分 ， 并 认为 服务 器 仅 支 持 IPv6， 那 么 
这 个 场景 可 代表 一 台 仅 支持 IPv4 的 客户 端 尝试 访问 一 台 仅 支 持 IPv6 的 服务 器 。 这 样 
一 个 场景 将 要 求 使 用 如 下 技术 之 一 : 

1) 一 个 IPv4-IPv6 转换 网 关 处 在 IPv4-IPv6 网 络 边界 ， 这 里 假定 服务 器 接 人 网 络 
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也 是 仅 支持 IPv6 的 。 
2) 如 果 服 务 器 接 入 网 络 仅 支持 IPv4， 那 么 服务 器 必须 采用 一 种 基于 主机 的 转换 
机 制 (例如 BIS 或 BIA) ， 以 便 在 IPv4 和 IPv6 首部 之 间 转 换 。 


15.6.5 客户 端 侧 迁移 


图 15-31 表示 以 图 15-28 我 们 的 初始 配置 开始 的 一 个 场景 ， 接 着 将 客户 端 和 接 入 
网 络 路 由 器 都 迁移 到 双 栈 实现 。 现 有 的 IPv4 客户 端 设备 将 被 增补 IPv6 应 用 、API 和 
TCP/IP 协议 栈 。 当 迁移 到 Windows XP SP1, Vista 或 7， 或 Mac OS X 时 ， 就 已 经 提供 
了 这 些 功能 中 的 多 数 增补 功能 。 这 个 场景 代表 如 下 范例 情形 。 








RPN 服务 器 

an IPv4 应 用 

TCP/IPv4 
< 一 入、 cE 








图 15-31 客户 端 侧 迁移 场景 


(1) 在 一 个 特定 的 组 织 机 构 完 全 迁移 到 IPv6 之 后 ， 继 续 使 用 双 栈 将 支持 对 IPv4 
网 站 的 访问 。 因 此 ， 在 因特网 可 访问 的 应 用 完成 到 IPv6 的 迁移 之 前 ， 这 可 能 是 实际 
上 会 存在 多 年 的 后 迁移 场景 。 但 是 ， 这 样 一 个 场景 的 一 种 更 可 能 配置 ， 是 在 组 织 机 构 
内 完全 迁移 到 IPv6 ， 到 IPv4 因特网 (ISP) 链 路 处 配置 一 台 转 换 网 关 。 

(2) 一 个 给 定 组 织 机 构 内 的 这 样 一 种 配置 ， 注 定 不 会 落 在 研究 IPv6 项 目的 那些 
组 织 机 构 范 围 之 外 ， 他 们 具有 访问 外 部 IPv6 应 用 的 需要 。 典 型 情况 下 ， 在 一 个 组 织 
机 构 内 大 规模 地 部 署 客户 端 ， 将 要 求 必 要 的 服务 器 侧 支 持 。 

(3) 忽略 客户 端 协议 栈 的 IPv4 部 分 ， 并 认为 客户 端 仅 支持 IPv6， 那 么 这 个 场景 
可 勾勒 出 一 名 完全 迁移 的 IPv6 用 户 访问 一 项 IPv4 应 用 (例如 一 台 web 服务 器 ) 的 情 
形 。 典 型 情况 下 ， 这 样 一 个 场景 的 特征 是 在 IPv4 ISP 连接 上 配置 一 台 转 换 网 关 ， 虽然 
此 时 也 可 采用 6to4、ISATAP 或 Teredo 打 隧 道 方法 。 


15.6.6 客户 端 -服务 器 迁移 


在 一 个 组 织 机 构 内 IPv6 迁移 的 一 种 普遍 被 人 期 望 的 方法 ， 其 特征 是 ， 在 大 约 相 同 
时 间或 在 滚动 升级 的 基础 上 ， 对 客户 端 和 服务 器 进行 升级 ， 在 合适 情况 下 也 包括 应 用 的 
升级 。 双 栈 部 署 方法 的 使 用 ， 便 于 随时 间 推 移 将 双 栈 部 署 到 客户 端 和 服务 器 。 对 于 应 用 
的 迁移 ， 特 别 是 由 大 量 用 户 群 访问 的 集成 企业 应 用 的 迁移 ， 必 须 给 予 特别 的 考虑 。 在 迁 
移 中 对 混合 IPv4/IPv6 客户 端的 支持 会 是 理想 情况 ， 但 也 许 并 不 现实 〈 见 图 15-32) 。 
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图 15-32” 双 栈 部 署 场景 0471 


这 个 场景 反映 了 上 面 描述 的 企业 内 范例 情况 ， 也 反映 了 依据 下 面 的 表 中 的 更 广泛 
范例 集合 ， 同 时 考虑 了 单 栈 情形 。 


15.6.7 总 体 IPv6 实现 规划 


除了 地 址 长 度 和 格式 的 基本 差异 外 ， 在 其 他 方面 ，IPv4 和 IPv6 都 是 网 络 层 协议 ， 
它们 使 应 用 能 够 在 共同 的 层 1 和 层 2 网 络 上 进行 通信 。 这 样 就 便于 在 同一 物理 网 络 上 
迁移 过 程 期 间 IPv4 和 IPv6 的 共存 。 但 是 ， 层 3 以 上 的 各 层 将 极 可 能 受到 影响 ， 特 别 
是 显示 、 利 用 或 支持 IP 地 址 表 项 的 那些 应 用 更 会 受到 影响 。 

IPv6 实现 提出 了 许多 挑战 。 这 些 挑战 的 关键 是 为 IPv6 网 络 分 配 和 部 署 而 定义 和 
组 织 一 个 整体 规划 。 这 正 是 一 个 IPAM 系统 可 有 助 益 的 领域 (discipline) 。 虽 然 存 在 
许多 涉及 的 详细 步 又， 但 为 规划 和 实施 这 样 一 次 迁移 ， 建 议 采 用 如 下 4 个 高 层次 的 
步骤 。 

(1) 对 您 当前 的 环境 建立 基线 ; 通过 实施 我 们 在 本 书 通 篇 讨论 过 的 实践 ， 可 完 
成 这 一 步 又。 

1) 在 如 下 方面 对 当前 IPv4 网 络 环境 建立 清单 和 做 基线 : 确定 哪些 IPv4 地 址 空 
间 正 在 使 用 ， 它 们 是 如 何 分 配 的 ， 哪 些 个 体 IPv4 地 址 已 被 指派 且 正 在 使 用 ， 以 及 依 
据 设备 不 同 的 其 他 IP 有关 信 息 。 

2) 作为 前 一 步 又 的 必然 结果 ， 对 相关 联 的 动态 主机 配置 协议 (DHCP) 服务 器 
配置 ( 指 地 址 池 以 及 相关 联 策略 和 选项 ) 建立 清单 和 做 基线 。 

3) 识别 和 记录 相关 联 的 域名 服务 器 (DNS) 配置 以 及 与 IPv4 设备 关联 的 资源 
记录 。 

4) 对 网 络 设 备 〈 基 础 设施 和 端 用 户 ) 建立 清单 ， 以 便 估计 当前 和 期 望 的 未 来 
IPv4/IPv6 支持 水 平 。 

5) 分 析 应 用 潜在 迁移 的 影响 ， 如 果 存 在 影响 的 话 ， 那 么 就 对 解决 这 些 影响 做 出 
规划 。 

(2) 规划 您 的 IPv6 部 署 

1) 设计 (map out) IPv6 实现 的 一 项 战略 措施 ， 包 括 如 下 方面 的 考虑 : 
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D 应 用 迁移 和 必 备 的 升级 

Q 联网 /路 由 器 迁移 或 升级 

@ 从 打 隧 道 、 转 换 和 /或 双 栈 方法 中 选择 共存 技术 ， 并 规划 相应 的 DNS 影响 
(impact) 。 

@ 选择 IPv6 设备 配置 措施 ， 例 如 无 状态 自动 配置 、 有 状态 配置 或 混合 方式 

2) 考虑 时 间 窗 口 (time frame) 需求 ， 如 果 存 在 的 话 ， 就 分 析 对 被 影响 单元 的 依 
赖 性 ， 并 确定 预算 需求 ， 以 便 得 到 一 个 迁移 规划 。 

(3) 执行 部 署 过 程 

1) 依据 前 面 的 步骤， 开始 执行 部 署 规划 ， 并 就 日 程 、 预 算 、 依 赖 和 意外 事件 计 
划 方 面 进 行 过 程 的 项 目 管理 。 

2) 对 做 过 基线 的 IPv4 空间 和 相关 联 的 IPv6 HE (overlay) 空间 的 IP 地址 清单 
进行 跟踪 。 当 然 ，IPv4 空间 中 的 增长 和 变化 将 极 可 能 在 迁移 过 程 中 持续 ， 所 以 在 合适 
的 情况 下 ， 将 这 些 更 新 艇 入 到 规划 之 中 。 

3) 更 新 DNS 和 DHCP 服务 ， 以 便 应 对 迁移 中 的 环境 ， 例 如 要 支持 IPv4 和 IPv6 
主机 以 及 IPv4 和 IPv6 传输 。 

(4) 管理 IPv4-IPv6 网 络 

1) 管理 IPv4 和 IPv6 地 址 空间 以 及 相应 的 DHCP 和 DNS 服务 。 

2) 依据 您 的 规划 ， 一 些 IPv4 空间 可 能 退役 。 当 您 网 络 的 一 些 部 分 完全 迁移 到 
IPv6 或 在 网 络 上 作为 最 终 的 退役 步骤 ， 可 能 完成 这 项 工作 。 

3) 取决 于 服务 外 部 主机 的 需求 (依据 内 部 策略 ,它们 可 能 仪 支持 IPv4)， 您 可 
能 期 望 在 您 的 整个 网 络 上 或 网 络 的 一 些 部 分 上 保留 IPv4 协议 继续 运行 。 
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词 汇 表 


本 书 中 通 篇 所 用 的 主要 术语 汇总 如 下 : 

e DHCP (动态 主机 配置 协议 ) : E IP 地址 到 网 络 主机 或 设备 的 指派 自动 化 。DHCP 
技术 适用 于 IPv4 和 IPv6 地 址 指派 ， 虽 然 典 型 情况 下 ,“DHCP” 指 IPv4 地 址 指派 。 

e DHCPv6: 专门 用 于 IPv6 地 址 的 DHCP, RÆ DHCP 协议 的 版 本 6。 

。DNS (域名 系统 ): 因特网 名 字 、 地 址 和 其 他 信息 的 分 布 式 数据 库 。 

e DNSSEC: DNS 安全 扩展 ， 提 供 解析 数据 源 发 认证 〈 源 真正 地 发 布 了 这 个 数 
据 )、 数 据 完整 性 验证 〈 沿 路 数据 没有 被 修改 ) 和 经 过 认证 的 数据 存在 性 拒绝 (被 请 
求 的 数据 在 这 个 区 域 中 不 存在 ) 。 

o FCAPS: 网 络 管理 的 五 个 主要 功能 域 的 首 字 母 缩写 ， 即 在 ITU 电信 管理 网 络 标 
准 中 所 描述 的 故障 、 配 置 、 记 账 、 性 能 和 安全 。 

e Host (HL): 在 一 个 IP 网 络 上 通信 的 一 台 端 设备 ,例如 一 台 服 务 器 、 笔 记 本 
计算 机 和 VoIP 电话 。 我 们 称 一 台 端 设备 ， 是 相对 网 络 基 础 设施 设备 而 言 的 ， 例 如 路 
由 器 和 交换 机 。 

。IP (因特网 协议 ): 在 因特网 间 和 所 有 IP 网 络 间 使 用 的 网 络 层 。IP 通常 指 所 有 
IP 版 本 ， 而 IPv4 和 IPv6 指 相应 的 IP 版 本 。 

o IPAM (IP 地 址 管理 ) : 管理 IP 地 址 空间 以 及 相关 联 DHCP 和 DNS 服务 的 系统 
性 (disciplined) 方法 。 

eISC (因特网 系统 团体 〈Consortium) ) : DHCP 和 DNS (BIND) 参考 实现 的 开发 者 。 

。ITIL® (信息 技术 基础 设施 库 ) : 由 英国 商务 部 (OCC) 开发 ， 是 一 个 最 佳 实 
践 框 架 ， 采 取 的 是 这 样 的 一 个 视角 ， 即 信息 技术 CT) 组 织 机 构 是 企业 的 一 个 服务 
提供 商 。 

e KSK ( 密 钥 签名 密 钥 ): 在 DNSSEC 内 部 使 用 ， 用 来 对 一 个 区 域 签 名 密 钥 
(ZSK) 进行 签名 ，ZSK 接 下 来 对 DNS 区 域 数据 进行 签名 。 公 开 KSK 是 在 相应 安全 区 
域内 的 一 条 DNSKEY 资源 记录 中 发 布 的 。 被 配置 信任 这 个 区 域 之 数据 的 解析 器 或 递 
归 服 务 器 ， 在 其 相应 配置 内 必须 有 公开 KSK 的 一 个 拷贝 (或 一 个 父 区 域 或 旁 查核 验 
器 区 域 的 公开 KSK) 被 配置 为 信任 锚 点 。 

e NAT (网 络 地 址 翻译 转换 ) : 一 台 网 关 或 防火 墙 ， 在 转发 报 文 之 前 ， 改 变 ( 转 
H) IP 报 文 内 的 一 个 IP 地址 ; 常用 于 企业 网 络 之 中 ,将 内 部 私有 IP 地 址 转换 为 外 部 
公开 IP 地 址 。 

e TCP (传输 控制 协议 ) : TCP/IP 协议 族 内 面向 连接 的 传输 层 协议 。 

o UDP (用 户 数据 报 协议 ) : TCP/IP 协议 族 内 无 连接 的 传输 层 协 议 。 

。 ZSK (区 域 签 名 密 钥 ) : HÆ DNSSEC 内 ， 对 区 域 信 息 ( 指 区 域内 资源 记录 和 集 
内 的 每 条 记录 ) 进行 签名 。 
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本 索引 列 出 了 因特网 工程 任务 组 (IETF) 发 布 的 IPAM - 有 关 的 主要 请 求 评 述 
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4977 信息 型 的 问题 陈述 : 双 栈 移动 性 

5181 信息 型 的 在 802. 16 网 络 中 的 IPv6 部 署 场景 

5211 信息 型 的 一 项 因特网 迁移 计划 
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1518 历史 型 的 采用 CIDR 的 IP 地址 分 配 架 构 

1900 信息 型 的 重新 编 址 需要 进行 研究 
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因特网 路 由 各 种 地 址 分 配 策略 的 隐 含 意义 













因特网 注册 处 IP 分 配 指南 
网 络 重新 编号 综述 :我 为 什么 想 要 它 及 它 到 底 是 什么 ? 












































2908 信息 型 的 因特网 组 播 地 址 分 配 架 构 

3177 信息 型 的 将 IPv6 地 址 分 配 到 站 点 的 IAB/IESG 建议 

3194 信息 型 的 地 址 指派 效率 的 H 密度 比率 一 一 H 比率 的 更 新 
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4147 信息 型 的 针对 IANA IPv6 注册 处 建议 的 格式 变更 

4192 信息 型 的 在 没有 纪念 日 ( 指 胜利 ) 条 件 下 对 一 个 IPv6 网 络 重新 编号 的 规程 
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4786 任意 播 服务 的 运行 

5505 信息 型 的 因特网 主机 配置 的 原则 

5684 信息 型 的 采用 重 秋 地 址 空间 部 署 NAT 的 意外 后 果 

5735 BCP 153 特殊 用 途 的 IPv4 地 址 

5736 信息 型 的 IANA IPv4 特殊 目的 地 址 注册 处 

5737 信息 型 的 为 归档 ( Documentation) 预 留 的 IPv4 地 址 块 

5771 BCP 51 IPv4 组 播 地 址 指派 IANA 指南 
58871 信息 型 的 重新 编 址 仍然 需要 进行 研究 工作 

DHCP 协议 各 RFC 

RFC 状态 标 题 

1534 DHCP 和 BOOTP 之 间 的 互 操作 

2131 动态 主机 配置 协议 

2132 DHCP 选项 和 BOOTP 厂商 扩展 

2241 建议 标准 Novell 目录 服务 的 DHCP 选项 

2242 建议 标准 NetWare/IP 域名 和 信息 

2485 建议 标准 开放 群 组 用 户 认证 协议 的 DHCP 选项 

2563 建议 标准 在 IPv4 客户 端 禁 止 无 状态 自动 配置 的 DHCP 选项 
2610 服务 定位 协议 的 DHCP 选项 

2855 建议 标准 用 于 IEEE 1394 的 DHCP 

2937 建议 标准 DHCP 的 名 字 服 务 搜索 选项 

3004 建议 标准 DHCP 的 用 户 类 选项 
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( 续 ) 


















DHCP 的 IPv4 子 网 选择 选项 





建议 标准 






















建议 标准 DHCP 中 继 代理 信息 选项 

































































3074 建议 标准 DHC 负载 均衡 算法 

3118 建议 标准 DHCP 消息 认证 

3203 建议 标准 DHCP 重新 配置 扩展 

3256 建议 标准 DOCSIS 设备 类 DHCP 中 继 代理 信息 子 选 项 

二 E IPv4 的 DHCP) 
3396 动态 主机 配置 协议 (DHCPv4) 中 的 编码 长 (long) 选 项 

3397 建议 标准 动态 主机 配置 协议 (DHCP) 域 搜索 选项 

3442 建议 标准 动态 主机 配置 协议 (DHCP) 版 本 4 的 无 类 静态 路 由 选项 

3456 建议 标准 动态 主机 配置 (DHCPv4 ) 的 IPsec 隧道 模式 配置 

3495 CableLabs 客户 端 配置 的 动态 主机 配置 协议 (DHCP) 选 项 

3527 用 于 DHCPv4 的 中 继 代理 信息 选项 的 链 路 选择 子 选 项 

3679 信息 型 的 未 用 动态 主机 配置 协议 (DHCP) 选项 代码 

3825 基于 协作 的 位 置 配置 信息 的 动态 主机 配置 协议 选项 

3925 建议 标准 用 于 动态 主机 配置 协议 版 本 4(DHCPv4 ) 的 厂商 识别 的 厂商 选项 
3942 建议 标准 重新 分 类 动态 主机 配置 协议 版 本 4( DHCPv4 ) 选项 

3993 建议 标准 用 于 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 订户 - ID 子 选项 
4030 用 于 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 认证 子 选项 
4039 建议 标准 用 于 动态 主机 配置 协议 版 本 4( DHCPv4) 的 快速 提交 选项 

4174 建议 标准 用 于 因特网 存储 名 字 服务 的 IPv4 动态 主机 配置 协议 (DHCP) 
4243 建议 标准 动态 主机 配置 协议 (DHCP) 中 继 代理 选项 的 厂商 特定 信息 子 选项 
4280 建议 标准 用 于 广播 和 组 播 控制 服务 器 的 动态 主机 配置 协议 (DHCP) 选项 














建议 标准 用 于 动态 主机 配置 协议 版 本 4(DHCPv4) 节 点 特定 的 客户 端 标识 符 





4388 
4390 
4578 
4702 
4703 




















4776 









建议 标准 动态 主机 配置 协议 (DHCP)Leasequery( 租赁 查询 ) 

建议 标准 InfiniBand 之 上 的 动态 主机 配置 协议 (DHCP) 

信息 型 的 用 于 Intel 提前 启动 执行 环境 (PXE) 的 动态 主机 配置 协议 (DHCP) 选 项 
建议 标准 动态 主机 配置 协议 (DHCP) 客户 端 完全 合格 的 域名 (FQDN) 选 项 
建议 标准 动态 主机 配置 协议 (DHCP) 客 户 端 间 完 全 合格 域名 (FQDN) 冲突 解决 
建议 标准 用 于 市 政 地 址 配置 信息 的 动态 主机 配置 协议 (DHCPv4 和 DHCPv6) 
建议 标准 DHCP 的 时 区 选项 

















建议 标准 动态 主机 配置 协议 版 本 4(DHCPv4) 中 继 代理 标志 子 选 项 
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5071 











( 续 ) 





标 题 
信息 型 的 PXELINUX 所 用 的 动态 主机 配置 协议 选项 





























建议 标准 DHCP 服务 器 标识 符 重 写 子 选项 
建议 标准 网 络 接 入 携带 认证 协议 (PANA) 认 证 代理 的 DHCP 选项 


























5223 建议 标准 使 用 动态 主机 配置 协议 (DHCP) 发 现 位 置 到 服务 的 转换 (LoST) 服务 器 
5417 建议 标准 无 线 接 人 点 控制 和 准备 (CAPWAP) 接 人 控制 器 DHCP 选项 
5460 建议 标准 DHCPv6 大 块 (Bulk) 租赁 查询 

用 于 IEEE 802. 21 移动 性 服务 (MoS) 发 现 的 动态 主机 配置 协议 (DH- 
5678 标准 跟踪 CPv4 和 DHCPv6 ) 选 项 














DHCPv4 的 TFTP 服务 器 地 址 选项 


DHCPv6 协议 各 RFC 






























































RFC 标 题 
3315 建议 标准 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 
3319 建议 标准 会 话 初始 协议 (SIP) 服务 器 的 动态 主机 配置 协议 (DHCPv6 ) 选 项 
3633 动态 主机 配置 协议 (DHCP) 版 本 6 的 IPv6 前 级 选项 
3646 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 的 DNS 配置 选项 
3736 用 于 IPv6 的 无 状态 动态 主机 配置 协议 (DHCP) 服务 
3769 IPv6 前 级 委派 的 需求 
me. 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 的 网 络 信息 服务 (NIS) 配置 
选项 

4075 DHCPv6 的 简单 网 络 时 间 协 议 (SNTP) 配置 选项 
4242 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 信 息 刷新 时 间 选 项 
4580 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 中 继 代理 订户 - ID 选项 
4649 用 于 IPv6 的 动态 主机 配置 协议 (DHCPv6) 中 继 代理 远程 - ID 选项 
4703 建议 标准 动态 主机 配置 协议 (DHCP) 客 户 端 间 完 全 合格 域名 (FQDN) 冲突 解决 

P 于 IPv6 的 动态 主机 配置 协议 (DHCPv6 ) 客户 端 完全 合格 域名 
4704 建议 标准 pol 
We rem i e T 
4833 建议 标准 DHCP 的 时 区 选项 
4994 DHCPv6 中 继 代理 回 声 请 求 选项 
5007 DHCPv6 租赁 请 求 
5192 网 络 接 入 携带 认证 协议 (PANA) 认 证 代理 的 DHCP 选项 
5223 建议 标准 使 用 动态 主机 配置 协议 (DHCP) 发 现 位 置 到 服务 的 转换 (LoST) 服务 器 
5460 DHCPv6 大 块 地 址 租赁 查询 

IEEE 802.21 #3 MoS ) 发 现 的 动态 主机 配置 协议 (DH- 

ea pras Ee 移动 性 服务 ( MoS ) 发 现 的 动 配 
5908 标准 跟踪 DHCPv6 的 网 络 时 间 协 议 (NTP) 服务 器 选项 
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DNS 协议 各 RFC 



















































































RFC 状态 标 题 

1034 标准 域名 一 一 概念 和 设施 

1035 标准 域名 一 一 实现 和 规范 

1101 未 知 网 络 名 和 其 他 类 型 的 DNS 编码 

1183 试验 型 的 新 的 DNS RR 定义 

1464 试验 型 的 使 用 域名 系统 来 存储 任意 字符 串 属性 

1480 信息 型 的 US( 美 国 ) 域 

1591 信息 型 的 域名 系统 结构 和 委派 

1706 信息 型 的 DNS NSAP 资源 记录 

1712 信息 型 的 地 理 位 置 的 DNS 编码 

1876 试验 型 的 在 域名 系统 中 表示 位 置信 息 的 一 种 方法 

1982 建议 标准 序列 号 算术 

1996 建议 标准 区 域 变更 提示 通知 的 一 种 机 制 (DNS NOTIFY) 
2136 | 建议 标准 域名 系统 中 的 动态 更 新 (DNS UPDATE) 

2163 建议 标准 使 用 因特网 DNS 来 分 发 MIXER 吻合 性 全 球 地 址 映射 (MCGAM) 
2181 建议 标准 DNS 规范 澄清 说 明 

2182 BCP 16 辅助 DNS 服务 器 的 选择 和 运行 

2219 BCP 19 为 网 络 服务 使 用 DNS 别名 

2308 建议 标准 DNS 查询 的 负面 缓存 (DNS NCACHE) 

2317 BCP 20 无 类 IN - ADDR. ARPA 委派 

2536 建议 标准 域名 系统 中 (DNS) 的 DSA KEY 和 SIG 

2539 建议 标准 域名 系统 (DNS) 中 存储 Diffie - Hellman 密 钥 
2540 试验 型 的 分 离 域名 系统 (DNS ) 信息 

2671 建议 标准 DNS 的 扩展 机 制 (EDNS0) 

2672 建议 标准 非 终 端 DNS 名 重 定向 

2673 试验 型 的 域名 系统 中 的 二 进 制 标签 

2782 | 建议 标准 指定 位 置 服务 的 一 条 DNS RR( DNS SRV) 
2870 BCP 40 根 名 服务 器 运行 需求 

2874 试验 型 的 支持 IPv6 地 址 汇聚 和 重新 编 址 的 DNS 扩展 
3123 试验 型 的 地 址 前 缀 列表 的 一 个 DNS RR 类 型 (APL RR) 
3258 信息 型 的 通过 共享 的 单 播 地 址 分 发 权威 名 字 服 务 器 
3363 | 信息 型 的 在 域名 系统 (DNS) 中 表示 因特网 协议 版 本 6(IPw) 地 址 
3364 信息 型 的 因特网 协议 版 本 6(IPv6 ) 域名 系统 (DNS) 支 持 中 的 折 中 考虑 
3425 建议 标准 过 时 的 IQUERY 
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( 续 ) 
RFC 状态 标 题 
3467 域名 系统 (DNS) 的 角色 
3490 建议 标准 应 用 中 的 国际 化 域名 (IDNA) 
3491 建议 标准 Nameprep :国际 化 域名 (IDN ) 的 一 个 Stringprep Profile 
m alas 次 要 代码 ) :应 用 中 国际 化 域名 的 Unicode 的 一 个 Bootstring 
3596 草案 标准 支持 IP 版 本 6 的 DNS 扩展 
3597 建议 标准 未 知 DNS 资源 记录 (RR) 类 型 的 处 理 
3681 BCP 80 E.F.F.3.IP6.ARPA. 的 委派 
3901 BCP 91 DNS IPv6 传输 运行 指南 
4074 信息 型 的 针对 IPv6 地 址 DNS 查询 的 常见 错误 行为 
4159 BCP 109 反对 使 用 “ip6. int” 
4183 信息 型 的 网 络 和 网 关 DNS 解析 的 一 种 建议 方案 
4185 DNS 顶级 域 (TLD ) 名字 的 国家 和 本 地 字符 ( character) 
4290 国际 化 域名 (IDN) 注册 的 建议 实践 
4343 域名 系统 (DNS) 大 小 写 不 敏感 概念 澄清 
4367 信息 型 的 名 字 中 是 什么 :有 关 DNS 名 字 的 错误 假定 
4406 试验 型 的 发 送 者 外 :认证 电子 邮件 
4406 试验 型 的 电子 邮件 地 址 中 据 称 负 责 的 地 址 
4407 试验 型 的 电子 邮件 中 域 的 授权 使 用 的 发 送 者 策略 框架 (SPF) 版 本 1 
4472 信息 型 的 IPv6 DNS 的 运行 考虑 和 问题 
4592 域名 系统 中 通配符 的 角色 
4690 信息 型 的 国际 化 名 字 (IDN) 的 评述 和 建议 
4697 BCP 123 观察 到 的 DNS 解析 错误 行为 
el 建议 标准 用 于 编码 主机 配置 协议 (DHCP) 信息 的 一 种 DNS 资源 记录 (RR) (DH- 
CID RR) 
4892 信息 型 的 对 识别 一 个 名 字 服 务 器 实例 机 制 的 需求 
5001 建议 标准 DNS 名 字 服 务 标识 符 (NSID ) 选 项 
5158 信息 型 的 6to4 DNS 委派 规范 
5205 试验 型 的 主机 身份 协议 (HIP) 域 名 系统 (DNS) 扩 展 [ HIP RR] 
5395 域名 系统 ( DNS)IANA 考虑 
5507 信息 型 的 当 扩 展 DNS 时 的 设计 选择 
5679 建议 标准 使 用 DNS 定位 IEEE 802.21 移动 性 服务 
5855 BCP 155 IPv4 和 IPv6 反 向 区 域 的 名 字 服 务 器 
5864 标准 跟踪 AFS 的 DNS SRV 资源 记录 
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(  ) 

RFC 状态 标 题 
5890 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :定义 和 文档 框架 
5891 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :协议 
5892 标准 跟踪 应 用 的 Unicode 码 点 和 国际 化 域名 (IDNA) 
5893 标准 跟踪 用 于 应 用 的 国际 化 域名 (IDNA) 的 从 右 到 左 脚本 
5894 标准 跟踪 应 用 的 国际 化 域名 (IDNA) :背景 、 解 释 和 合理 性 论据 
5936 标准 跟踪 DNS 区 域 传输 协议 (AXFR) 

DNS 安全 有 关 的 各 RFC 

RFC 状态 标 题 
2230 信息 型 的 DNS 的 密 钥 交换 委派 记录 
2845 建议 标准 DNS 的 安全 密 钥 事务 认证 (TSIG) 
2930 建议 标准 DNS 的 安全 密 钥 建立 (TKEY RR) 
2931 建议 标准 DNS 请 求 和 事务 性 签名 (SIC(0) ) 
3007 建议 标准 安全 的 域名 系统 (DNS ) 动态 更 新 
3110 建议 标准 域名 系统 (DNS) 中 RSA/SHA -1 SIG 和 RSA KEY 
3645 建议 标准 用 于 DNS 密码 密 钥 事 务 认 证 的 通用 安全 服务 算法 (GSS - TSIG) 
3833 | fa 域名 系统 (DNS ) 的 威胁 分 析 
4033 建议 标准 DNS 安全 导论 和 需求 
4034 建议 标准 DNS 安全 扩展 的 资源 记录 
4035 建议 标准 DNS 安全 扩展 的 协议 修改 
4255 建议 标准 使 用 DNS 来 安全 地 发 布 安全 外 壳 (SSH) 密 钥 指 纹 
4398 建议 标准 在 域名 系统 (DNS) 中 存储 证 书 
4431 信息 型 的 DNSSEC 旁 查 (Lookaside) 核验 (DLV) 资 源 记 录 
4470 | 建议 标准 最 小 化 覆盖 NSEC 记录 和 DNSSEC 在 线 签名 
4509 建议 标准 DNSSEC 委派 签名 人 (DS) 资 源 记录 (RR) 中 使 用 SHA -256 
4641 信息 型 的 DNSSEC 运行 实践 
4686 信息 型 的 促进 域 密 钥 识别 邮件 (DKIM) 的 威胁 分 析 
4871 建议 标准 域 密 钥 识别 邮件 (DKIM ) 签名 
4955 建议 标准 DNS 安全 (DNSSEC ) 试验 
4956 T ”试验 型 的 DNS 安全 (DNSSEC ) 参与 
4986 信息 型 的 与 DNS 安全 (DNSSEC ) 信任 锚 点 轮转 有 关 的 需求 
5011 建议 标准 DNS 安全 (DNSSEC ) 信任 锚 点 的 自动 化 更 新 
5016 信息 型 的 域 密 钥 识别 邮件 (DKIM) 签 名 实践 协议 的 需求 
5074 信息 型 的 DNSSEC 旁 查 核验 (DLV) 

















( 续 ) 





DNS 安全 (DNSSEC ) 哈 希 经 认证 的 存在 性 拒绝 [NSEC3， 




















Æ DNSSEC 的 DNSKEY 和 RRSIG 资源 记录 中 与 RSA 一 起 使 用 SHA -2 
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RFC 状态 标 g 
JES 建议 标准 NSEC3PARAM ] 
5358 BCP 140 防止 在 反射 器 攻击 中 递归 使 用 名 字 服 务 器 
5452 标准 跟踪 使 DNS 对 伪造 答案 更 加 具有 抑制 性 的 措施 
5585 信息 型 的 域 密 钥 识别 邮件 (DKIM ) 服务 综述 
5617 标准 跟踪 域 密 钥 识别 邮件 (DKIM) 作者 域 签名 实践 (ADSP) 
5672 标准 跟踪 RFC 4871 域 密 钥 识别 邮件 (DKIM) 签名 一 一 更 新 
5702 议 标 
建议 标准 ki 
5782 信息 型 的 DNS 黑 名 单 和 白 名 单 
5863 信息 型 的 域 密 钥 识别 邮件 (DKIM) 开发、 部署 和 运行 
5933 标准 跟踪 Æ DNSSEC 的 DNSKEY 和 RRSIG 资源 记录 中 使 用 COST 签名 算法 





DNS ENUM 有 关 的 各 RFC 
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2916 
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3761 


3762 
3764 
3824 
3953 
3958 
4114 
4725 
4759 
4848 
5067 
5483 
5526 
5527 








状态 
建议 标准 
信息 型 的 
建议 标准 
建议 标准 
建议 标准 
建议 标准 
信息 型 的 
建议 标准 
建议 标准 
建议 标准 
信息 型 的 
建议 标准 
建议 标准 
信息 型 的 
信息 型 的 
信息 型 的 
信息 型 的 


标 题 
E.164 号 和 DNS 
电话 号 码 映射 (ENUM) 的 历史 和 背景 … 


动态 委派 发 现 系统 (DDDS) 第 三 部 分 :域名 系统 (DNS) 数 据 库 [NAPTR 
RR] 


E. 164 到 统一 资源 标识 符 (URI) HA BI RM ARH ( DDDS) 应 用 
(ENUM) 


针对 H. 323 的 电话 号 码 映射 (ENUM ) 服务 注册 
针对 会 话 初始 协议 (SIP) 地 址 记录 的 ENUM 服务 注册 








会 话 初始 协议 (SP) 中 使 用 卫 . 164 号 码 

针对 在 席 服务 的 电话 号 码 映射 (ENUM ) 服务 注册 

使 用 SRV RR 和 动态 委派 发 现 系统 (DDDS) 的 基于 域 的 应 用 服务 定位 
可 扩展 信息 准备 提供 协议 (EPP) KY E. 164 号 码 映 射 

ENUM 核验 架构 

“tel” URI 的 ENUM Dip 指示 器 参数 

使 用 URI 和 动态 委派 发 现 协 议 (DDDS) 的 基于 域 的 应 用 服务 定位 
基础 设施 ENUM 需求 

ENUM 实现 问题 和 经 验 

基础 设施 ENUM 的 E.164 到 统一 资源 标识 符 (DDDS) 应 用 

在 e164. arpa 树 中 组 合用 户 和 基础 设施 ENUM 
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管理 或 运行 方面 的 各 RFC 






1912 


DNS 调试 的 工具 





信息 型 的 





常见 DNS 错误 





3172 












因特网 以 及 TCP/IP 工具 和 设施 基础 
保留 的 顶级 DNS 名 字 





BCP 52 








地 址 和 路 由 参数 区 ( Area) 域 (Domain) (“ arpa” ) 的 管理 指南 和 运行 
需求 











网 络 扫描 的 IPv6 隐 含 意义 


际 信息 工程 先进 技术 译 从 


《IP 地 址 管理 原理 与 实践 》 

《 自 组 织 网 络 : GSM,UMTS 和 LTS 的 自 规划 、 自 优化 和 自 愈 合 》 
《UMTS 中 的 LTE， 向 LTE 一 Advanced 演 进 》 ( 原 书 第 2 版 ) 
《UMTS 中 的 WCDMA 一 HSPA 演 进 及 LTE》 ( 原 书 第 5 版 ) 
《LTE 自 组 织 网 络 (SON) ， 网 络 管理 自动 化 提升 运 维 效 率 》 
《实现 吉 比 特 传输 的 60GHz 无 线 通 信 技 术 》 
《内 容 分 发 网 络 》 

《无 线 Mesh 网 络 架构 与 协议 》 

《UMTS 蜂窝 系统 的 QoS 与 QoE 管 理 》 
《半导体 制造 与 过 程控 制 基础 》 

《下 一 代 移 动 系统 :3G/B3G》 
《1MS:IP 多 媒体 概念 和 服务 》 ( 原 书 第 2 版 ) 

《下 一 代 无 线 系统 与 网 络 》 

《深入 浅 出 UMTS 无 线 网 络 建 模 、 

规划 与 自动 优化 : 理论 与 实践 》 
《HSDPA/HSUPA 技 术 与 系统 设计 一 一 第 三 代 移动 
通信 系统 宽带 无 线 接 入 》 

《无 线 传感器 及 元 器 件 :网 络 、 设 计 与 应 用 》 

《 印 制 电路 板 一 一 设计 、 制 造 、 装 配 与 测试 》 
《1PTV 与 网 络 视频 : 拓展 广播 电视 的 应 用 范围 》 

《多 电压 CMOS 电 路 设计 》 

《 微 电 子 技术 原理 、 设 计 与 应 用 》 

《蜂窝 网 络 高 级 规划 与 优化 2G/2.5G/3G/… 向 4G 的 演进 》 
《基于 蜂窝 系统 的 1HMS 一 一 融合 电信 领域 的 VolP 演 进 》 
《无 线 网 络 中 的 合作 原理 与 应 用 》 

《环境 网 络 : 支持 下 一 代 无 线 业务 的 多 域 协同 网 络 》 
《基于 射频 工程 的 UMTS 空 中 接口 设计 与 网 络 运行 》 
《未 来 UMTS 的 体系 结构 与 业务 平台 : 全 IP 的 3G CDMA 网 络 》 
《UMTS-HSDPA 系 统 的 TCP 性 能 》 

《宽带 无 线 通信 中 的 空 时 编码 》 

《数字 图 像 处 理 》 ( 原 书 第 4 版 ) 

《基于 4G 系 统 的 移动 服务 技术 》 

《 吉 规 模 集成 电路 互 连 工 艺 及 设计 》 

《高 性 能 微 处理 器 电路 设计 》 
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